Stratégie d’appareil VPN

La stratégie d’appareil VPN configure les paramètres de réseau privé virtuel (VPN) qui permettent aux appareils des utilisateurs de se connecter en toute sécurité aux ressources de l’entreprise. Vous pouvez configurer la stratégie d’appareil VPN pour les plateformes suivantes. Chaque plateforme nécessite un ensemble de valeurs différent, qui sont décrites en détail dans cet article.

Pour ajouter ou configurer cette stratégie, accédez à Configurer > Stratégies d’appareil. Pour plus d’informations, consultez Stratégies d’appareil.

Exigences pour les VPN par application

Vous configurez la fonctionnalité VPN par application pour les plateformes suivantes via les stratégies VPN :

• iOS
• macOS
• Android (DA héritée)
• Samsung SAFE
• Samsung Knox

Pour configurer les VPN pour les appareils Android Enterprise, créez une stratégie d’appareil de configurations gérées pour l’application Citrix SSO. Consultez Configurer les profils VPN pour Android Enterprise.

Les options VPN par application sont disponibles pour certains types de connexion. Le tableau suivant indique quand les options VPN par application sont disponibles.

Pour créer un VPN par application pour les appareils iOS et Android (DA héritée) à l’aide de l’application Citrix SSO, vous devez effectuer des étapes supplémentaires, en plus de la configuration de la stratégie VPN. De plus, vous devez vérifier que les prérequis suivants sont remplis :

• Citrix Gateway sur site
• Les applications suivantes sont installées sur l’appareil :
  • Citrix SSO
  • Citrix Secure Hub™

Un flux de travail général pour configurer un VPN par application pour les appareils iOS et Android à l’aide de l’application Citrix SSO est le suivant :

1. Configurez une stratégie d’appareil VPN comme décrit dans cet article.

   • Pour iOS, consultez Configurer le protocole Citrix SSO pour iOS. Après avoir configuré le protocole Citrix SSO pour iOS via une stratégie d’appareil VPN, vous devez également créer une stratégie d’attributs d’application pour associer une application à la stratégie VPN par application. Pour plus d’informations, consultez Configurer un VPN par application.

     • Pour le champ Type d’authentification pour la connexion, si vous sélectionnez Certificat, vous devez d’abord configurer l’authentification basée sur les certificats pour Endpoint Management. Consultez Authentification par certificat client ou par certificat et domaine.

   • Pour Android (DA héritée), consultez Configurer le protocole Citrix SSO pour Android.

     • Pour le champ Type d’authentification pour la connexion, si vous sélectionnez Certificat ou Mot de passe et certificat, vous devez d’abord configurer l’authentification basée sur les certificats pour Endpoint Management. Consultez Authentification par certificat client ou par certificat et domaine.

2. Configurez Citrix ADC pour accepter le trafic du VPN par application. Pour plus de détails, consultez Configuration complète du VPN sur Citrix Gateway.

Paramètres iOS

Pour préparer les mises à niveau d’appareils vers iOS 12 :

Le type de connexion VPN Citrix dans la stratégie d’appareil VPN pour iOS ne prend pas en charge iOS 12. Suivez ces étapes pour supprimer votre stratégie d’appareil VPN existante et créer une stratégie d’appareil VPN avec le type de connexion Citrix SSO :

1. Supprimez votre stratégie d’appareil VPN pour iOS.
2. Ajoutez une stratégie d’appareil VPN pour iOS. Paramètres importants :
   • Type de connexion = Citrix SSO
   • Activer le VPN par application = Activé
   • Type de fournisseur = Tunnel de paquets
3. Ajoutez une stratégie d’appareil d’attributs d’application pour iOS. Pour Identifiant VPN par application, choisissez iOS_VPN.

• Nom de la connexion : Saisissez un nom pour la connexion.
• Type de connexion : Dans la liste, sélectionnez le protocole à utiliser pour cette connexion. La valeur par défaut est L2TP.
  • L2TP : Protocole de tunnellisation de couche 2 avec authentification par clé pré-partagée.
  • PPTP : Tunnellisation point à point.
  • IPSec : Votre connexion VPN d’entreprise.
  • Cisco Legacy AnyConnect : Ce type de connexion nécessite que le client VPN Cisco Legacy AnyConnect soit installé sur l’appareil de l’utilisateur. Cisco supprime progressivement le client Cisco Legacy AnyConnect qui était basé sur un framework VPN désormais obsolète. Pour plus d’informations, consultez l’article de support https://support.citrix.com/article/CTX227708.

  Pour utiliser le client Cisco AnyConnect actuel, utilisez un Type de connexion Custom SSL. Pour les paramètres requis, consultez « Configurer le protocole Custom SSL » dans cette section.

  • Juniper SSL : Client VPN SSL Juniper Networks.
  • F5 SSL : Client VPN SSL F5 Networks.
  • SonicWALL Mobile Connect : Client VPN unifié Dell pour iOS.
  • Ariba VIA : Client d’accès Internet virtuel Ariba Networks.
  • IKEv2 (iOS uniquement) : Version 2 du protocole Internet Key Exchange pour iOS uniquement.
  • AlwaysOn IKEv2 : Accès permanent utilisant IKEv2.
  • AlwaysOn IKEv2 Dual Configuration : Accès permanent utilisant la double configuration IKEv2.
  • Citrix SSO : Client Citrix SSO pour iOS 12 et versions ultérieures.
  • Custom SSL : Secure Socket Layer personnalisé. Ce type de connexion est requis pour le client Cisco AnyConnect qui possède un ID de bundle com.cisco.anyconnect. Spécifiez un Nom de connexion Cisco AnyConnect. Vous pouvez également déployer la stratégie VPN et activer un filtre de contrôle d’accès réseau (NAC) pour les appareils iOS. Le filtre bloque une connexion VPN pour les appareils sur lesquels des applications non conformes sont installées. La configuration nécessite des paramètres spécifiques pour la stratégie VPN iOS, comme décrit dans la section iOS suivante. Pour plus d’informations sur les autres paramètres requis pour activer le filtre NAC, consultez Contrôle d’accès réseau.

Les sections suivantes répertorient les options de configuration pour chacun des types de connexion précédents.

Configurer le protocole L2TP pour iOS

• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte utilisateur : Saisissez un compte utilisateur facultatif.
• Sélectionnez Authentification par mot de passe ou Authentification RSA SecurID.
• Secret partagé : Saisissez la clé secrète partagée IPsec.
• Envoyer tout le trafic : Indiquez si tout le trafic doit être envoyé via le VPN. La valeur par défaut est Désactivé.

Configurer le protocole PPTP pour iOS

• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte utilisateur : Saisissez un compte utilisateur facultatif.
• Sélectionnez Authentification par mot de passe ou Authentification RSA SecurID.
• Niveau de chiffrement : Dans la liste, sélectionnez un niveau de chiffrement. La valeur par défaut est Aucun.
  • Aucun : N’utilisez aucun chiffrement.
  • Automatique : Utilisez le niveau de chiffrement le plus fort pris en charge par le serveur.
  • Maximum (128 bits) : Utilisez toujours le chiffrement 128 bits.
• Envoyer tout le trafic : Indiquez si tout le trafic doit être envoyé via le VPN. La valeur par défaut est Désactivé.

Configurer le protocole IPsec pour iOS

• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte utilisateur : Saisissez un compte utilisateur facultatif.
• Type d’authentification pour la connexion : Dans la liste, sélectionnez Secret partagé ou Certificat pour le type d’authentification de cette connexion. La valeur par défaut est Secret partagé.
• Si vous activez Secret partagé, configurez les paramètres suivants :
  • Nom du groupe : Saisissez un nom de groupe facultatif.
  • Secret partagé : Saisissez une clé secrète partagée facultative.
  • Utiliser l’authentification hybride : Indiquez si l’authentification hybride doit être utilisée. Avec l’authentification hybride, le serveur s’authentifie d’abord auprès du client, puis le client s’authentifie auprès du serveur. La valeur par défaut est Désactivé.
  • Demander le mot de passe : Indiquez si les utilisateurs doivent être invités à saisir leur mot de passe lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
• Si vous activez Certificat, configurez les paramètres suivants :
  • Informations d’identification d’identité : Dans la liste, sélectionnez les informations d’identification d’identité à utiliser. La valeur par défaut est Aucun.
  • Demander le code PIN lors de la connexion : Indiquez si les utilisateurs doivent saisir leur code PIN lors de la connexion au réseau. La valeur par défaut est Désactivé.
  • Activer le VPN à la demande : Indiquez s’il faut activer le déclenchement d’une connexion VPN lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour plus d’informations sur la configuration des paramètres lorsque Activer le VPN à la demande est Activé, consultez Configurer les paramètres d’activation du VPN à la demande pour iOS.
• Activer le VPN par application : Indiquez s’il faut activer le VPN par application. La valeur par défaut est Désactivé.
• Application de correspondance à la demande activée : Indiquez si les connexions VPN par application se déclenchent automatiquement lorsque les applications liées au service VPN par application démarrent la communication réseau. La valeur par défaut est Désactivé.
• Domaines Safari : Cliquez sur Ajouter pour ajouter un nom de domaine Safari.

Configurer le protocole Cisco AnyConnect hérité pour iOS

Pour passer du client Cisco AnyConnect hérité au nouveau client Cisco AnyConnect, utilisez le protocole SSL personnalisé.

• Identifiant de bundle du fournisseur : Pour le client AnyConnect hérité, l’ID de bundle est com.cisco.anyconnect.gui.
• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte utilisateur : Saisissez un compte utilisateur facultatif.
• Groupe : Saisissez un nom de groupe facultatif.
• Type d’authentification pour la connexion : Dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification de cette connexion. La valeur par défaut est Mot de passe.
  • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
  • Si vous activez Certificat, configurez les paramètres suivants :
    • Informations d’identification d’identité : Dans la liste, sélectionnez les informations d’identification d’identité à utiliser. La valeur par défaut est Aucun.
    • Demander le code PIN lors de la connexion : Indiquez si les utilisateurs doivent être invités à saisir leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
    • Activer le VPN à la demande : Indiquez s’il faut activer le déclenchement d’une connexion VPN lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour plus d’informations sur la configuration des paramètres lorsque Activer le VPN à la demande est Activé, consultez Configurer les paramètres d’activation du VPN à la demande pour iOS.
• Activer le VPN par application : Indiquez s’il faut activer le VPN par application. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
  • Application de correspondance à la demande activée : Indiquez si les connexions VPN par application se déclenchent automatiquement lorsque les applications liées au service VPN par application démarrent la communication réseau. La valeur par défaut est Désactivé.
  • Type de fournisseur : Indiquez si le VPN par application est fourni en tant que Proxy d’application ou Tunnel de paquets. La valeur par défaut est Proxy d’application.
  • Domaines Safari : Pour chaque domaine Safari pouvant déclencher une connexion VPN par application que vous souhaitez inclure, cliquez sur Ajouter et effectuez les opérations suivantes :
    • Domaine : Saisissez le domaine à ajouter.
    • Cliquez sur Enregistrer pour enregistrer le domaine ou sur Annuler pour ne pas enregistrer le domaine.

Configurer le protocole Juniper SSL pour iOS

• Identifiant de bundle du fournisseur : Si votre profil VPN par application possède l’identifiant de bundle d’une application avec plusieurs fournisseurs VPN du même type, spécifiez le fournisseur à utiliser ici.
• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte utilisateur : Saisissez un compte utilisateur facultatif.
• Domaine : Saisissez un nom de domaine facultatif.
• Rôle : Saisissez un nom de rôle facultatif.
• Type d’authentification pour la connexion : Dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification de cette connexion. La valeur par défaut est Mot de passe.
  • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
  • Si vous activez Certificat, configurez les paramètres suivants :
    • Informations d’identification d’identité : Dans la liste, sélectionnez les informations d’identification d’identité à utiliser. La valeur par défaut est Aucun.
    • Demander le code PIN lors de la connexion : Indiquez si les utilisateurs doivent être invités à saisir leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
    • Activer le VPN à la demande : Indiquez s’il faut activer le déclenchement d’une connexion VPN lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour plus d’informations sur la configuration des paramètres lorsque Activer le VPN à la demande est Activé, consultez Configurer les paramètres d’activation du VPN à la demande pour iOS.
• Activer le VPN par application : Indiquez s’il faut activer le VPN par application. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
  • Application de correspondance à la demande activée : Indiquez si les connexions VPN par application se déclenchent automatiquement lorsque les applications liées au service VPN par application initient la communication réseau. La valeur par défaut est Désactivé.
  • Type de fournisseur : Indiquez si le VPN par application est fourni en tant que Proxy d’application ou Tunnel de paquets. La valeur par défaut est Proxy d’application.
  • Domaines Safari : Pour chaque domaine Safari pouvant déclencher une connexion VPN par application que vous souhaitez inclure, cliquez sur Ajouter et effectuez les opérations suivantes :
    • Domaine : Saisissez le domaine à ajouter.
    • Cliquez sur Enregistrer pour enregistrer le domaine ou sur Annuler pour ne pas enregistrer le domaine.

Configurer le protocole F5 SSL pour iOS

• Identifiant de bundle du fournisseur : Si votre profil VPN par application possède l’identifiant de bundle d’une application avec plusieurs fournisseurs VPN du même type, spécifiez le fournisseur à utiliser ici.
• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte utilisateur : Saisissez un compte utilisateur facultatif.
• Type d’authentification pour la connexion : Dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification de cette connexion. La valeur par défaut est Mot de passe.
  • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
  • Si vous activez Certificat, configurez les paramètres suivants :
    • Informations d’identification d’identité : Dans la liste, sélectionnez les informations d’identification d’identité à utiliser. La valeur par défaut est Aucun.
    • Demander le code PIN lors de la connexion : Indiquez si les utilisateurs doivent être invités à saisir leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
    • Activer le VPN à la demande : Indiquez s’il faut activer le déclenchement d’une connexion VPN lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour plus d’informations sur la configuration des paramètres lorsque Activer le VPN à la demande est Activé, consultez Configurer les paramètres d’activation du VPN à la demande pour iOS.
• Activer le VPN par application : Indiquez s’il faut activer le VPN par application. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
  • Application de correspondance à la demande activée : Indiquez si les connexions VPN par application se déclenchent automatiquement lorsque les applications liées au service VPN par application initient la communication réseau.
  • Type de fournisseur : Indiquez si le VPN par application est fourni en tant que Proxy d’application ou Tunnel de paquets. La valeur par défaut est Proxy d’application.
  • Domaines Safari : Pour chaque domaine Safari pouvant déclencher une connexion VPN par application que vous souhaitez inclure, cliquez sur Ajouter et effectuez les opérations suivantes :
    • Domaine : Saisissez le domaine à ajouter.
    • Cliquez sur Enregistrer pour enregistrer le domaine ou sur Annuler pour ne pas enregistrer le domaine.

Configurer le protocole SonicWALL pour iOS

• Identifiant de bundle du fournisseur : Si votre profil VPN par application possède l’identifiant de bundle d’une application avec plusieurs fournisseurs VPN du même type, spécifiez le fournisseur à utiliser ici.
• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte utilisateur : Saisissez un compte utilisateur facultatif.
• Groupe ou domaine de connexion : Saisissez un groupe ou un domaine de connexion facultatif.
• Type d’authentification pour la connexion : Dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification de cette connexion. La valeur par défaut est Mot de passe.
  • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
  • Si vous activez Certificat, configurez les paramètres suivants :
    • Informations d’identification d’identité : Dans la liste, sélectionnez les informations d’identification d’identité à utiliser. La valeur par défaut est Aucun.
    • Demander le code PIN lors de la connexion : Indiquez si les utilisateurs doivent être invités à saisir leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
    • Activer le VPN à la demande : Indiquez s’il faut activer le déclenchement d’une connexion VPN lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour plus d’informations sur la configuration des paramètres lorsque Activer le VPN à la demande est Activé, consultez Configurer les paramètres d’activation du VPN à la demande pour iOS.
• Activer le VPN par application : Indiquez s’il faut activer le VPN par application. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
  • Application de correspondance à la demande activée : Indiquez si les connexions VPN par application se déclenchent automatiquement lorsque les applications liées au service VPN par application initient la communication réseau.
  • Type de fournisseur : Indiquez si le VPN par application est fourni en tant que Proxy d’application ou Tunnel de paquets. La valeur par défaut est Proxy d’application.
  • Domaines Safari : Pour chaque domaine Safari pouvant déclencher une connexion VPN par application que vous souhaitez inclure, cliquez sur Ajouter et effectuez les opérations suivantes :
    • Domaine : Saisissez le domaine à ajouter.
    • Cliquez sur Enregistrer pour enregistrer le domaine ou sur Annuler pour ne pas enregistrer le domaine.

Configurer le protocole Ariba VIA pour iOS

• Identifiant de bundle du fournisseur : Si votre profil VPN par application possède l’identifiant de bundle d’une application avec plusieurs fournisseurs VPN du même type, spécifiez le fournisseur à utiliser ici.
• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte utilisateur : Saisissez un compte utilisateur facultatif.
• Type d’authentification pour la connexion : Dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification de cette connexion. La valeur par défaut est Mot de passe.
  • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
  • Si vous activez Certificat, configurez les paramètres suivants :
    • Informations d’identification d’identité : Dans la liste, sélectionnez les informations d’identification d’identité à utiliser. La valeur par défaut est Aucun.
    • Demander le code PIN lors de la connexion : Indiquez si les utilisateurs doivent être invités à saisir leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
    • Activer le VPN à la demande : Indiquez s’il faut activer le déclenchement d’une connexion VPN lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour plus d’informations sur la configuration des paramètres lorsque Activer le VPN à la demande est Activé, consultez Configurer les paramètres d’activation du VPN à la demande pour iOS.
• Activer le VPN par application : Indiquez s’il faut activer le VPN par application. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
  • Application de correspondance à la demande activée : Indiquez si les connexions VPN par application se déclenchent automatiquement lorsque les applications liées au service VPN par application initient la communication réseau.
  • Domaines Safari : Pour chaque domaine Safari pouvant déclencher une connexion VPN par application que vous souhaitez inclure, cliquez sur Ajouter et effectuez les opérations suivantes :
    • Domaine : Saisissez le domaine à ajouter.
    • Cliquez sur Enregistrer pour enregistrer le domaine ou sur Annuler pour ne pas enregistrer le domaine.

Configurer les protocoles IKEv2 pour iOS

Cette section inclut les paramètres utilisés pour les protocoles IKEv2, AlwaysOn IKEv2 et AlwaysOn IKEv2 Dual Configuration. Pour le protocole AlwaysOn IKEv2 Dual Configuration, configurez tous ces paramètres pour les réseaux cellulaires et Wi-Fi.

• Autoriser l’utilisateur à désactiver la connexion automatique : Pour les protocoles AlwaysOn. Indiquez s’il faut autoriser les utilisateurs à désactiver la connexion automatique au réseau sur leurs appareils. La valeur par défaut est Désactivé.

• Nom d’hôte ou adresse IP du serveur : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.

• Identifiant local : Le FQDN ou l’adresse IP du client IKEv2. Ce champ est obligatoire.

• Identifiant distant : Le nom de domaine complet (FQDN) ou l’adresse IP du serveur VPN. Ce champ est obligatoire.

• Authentification de l’appareil : Choisissez Secret partagé, Certificat ou Certificat d’appareil basé sur l’identifiant de l’appareil pour le type d’authentification de cette connexion. La valeur par défaut est Secret partagé.
  • Si vous choisissez Secret partagé, saisissez une clé secrète partagée facultative.
  • Si vous choisissez Certificat, choisissez une information d’identification à utiliser. La valeur par défaut est Aucune.
  • Si vous choisissez Certificat d’appareil basé sur l’identifiant de l’appareil, choisissez le type d’identité d’appareil à utiliser. La valeur par défaut est IMEI. Pour utiliser cette option, importez des certificats en bloc à l’aide de l’API REST. Consultez Charger des certificats sur des appareils iOS en bloc avec l’API REST. Disponible uniquement lorsque vous sélectionnez Always On IKEv2.

• Authentification étendue activée : Indiquez si vous souhaitez activer le protocole d’authentification étendue (EAP). Si vous choisissez Activé, saisissez le Compte utilisateur et le Mot de passe d’authentification.

• Intervalle de détection des pairs inactifs : Choisissez la fréquence à laquelle un appareil pair est contacté pour s’assurer qu’il reste joignable. La valeur par défaut est Aucune. Les options sont :
  • Aucune : Désactive la détection des pairs inactifs.
  • Faible : Contacte le pair toutes les 30 minutes.
  • Moyenne : Contacte le pair toutes les 10 minutes.
  • Élevée : Contacte le pair toutes les 1 minute.

• Désactiver la mobilité et le multihébergement : Indiquez si vous souhaitez désactiver cette fonctionnalité.

• Utiliser les attributs de sous-réseau interne IPv4/IPv6 : Indiquez si vous souhaitez activer cette fonctionnalité.

• Désactiver les redirections : Indiquez si vous souhaitez désactiver les redirections.

• Activer le maintien de connexion NAT lorsque l’appareil est en veille : Pour les protocoles AlwaysOn. Les paquets de maintien de connexion maintiennent les mappages NAT pour les connexions IKEv2. La puce envoie ces paquets à intervalles réguliers lorsque l’appareil est actif. Si ce paramètre est activé, la puce envoie des paquets de maintien de connexion même lorsque l’appareil est en veille. L’intervalle par défaut est de 20 secondes via Wi-Fi et de 110 secondes via le réseau cellulaire. Vous pouvez modifier l’intervalle à l’aide du paramètre d’intervalle de maintien de connexion NAT.

• Intervalle de maintien de connexion NAT (secondes) : Par défaut, 20 secondes.

• Activer le secret de transmission parfait : Indiquez si vous souhaitez activer cette fonctionnalité.

• Adresses IP du serveur DNS : Facultatif. Une liste de chaînes d’adresses IP de serveurs DNS. Ces adresses IP peuvent inclure un mélange d’adresses IPv4 et IPv6. Cliquez sur Ajouter pour saisir une adresse.

• Nom de domaine : Facultatif. Le domaine principal du tunnel.

• Domaines de recherche : Facultatif. Une liste de chaînes de domaines utilisées pour qualifier entièrement les noms d’hôte à étiquette unique.

• Ajouter les domaines de correspondance supplémentaires à la liste du résolveur : Facultatif. Détermine s’il faut ajouter la liste des domaines de correspondance supplémentaires à la liste des domaines de recherche du résolveur. La valeur par défaut est Activé.

• Domaines de correspondance supplémentaires : Facultatif. Une liste de chaînes de domaines utilisées pour déterminer quelles requêtes DNS doivent utiliser les paramètres du résolveur DNS dans les adresses des serveurs DNS. Cette clé crée une configuration DNS fractionnée où seuls les hôtes de certains domaines sont résolus à l’aide du résolveur DNS du tunnel. Les hôtes ne faisant pas partie des domaines de cette liste sont résolus à l’aide du résolveur par défaut du système.

Si ce paramètre contient une chaîne vide, cette chaîne est le domaine par défaut. C’est ainsi qu’une configuration de tunnel fractionné peut diriger toutes les requêtes DNS vers les serveurs DNS VPN avant les serveurs DNS primaires. Si le tunnel VPN est la route par défaut du réseau, les serveurs DNS répertoriés deviennent le résolveur par défaut. Dans ce cas, la liste des domaines de correspondance supplémentaires est ignorée.

• Paramètres SA IKE et Paramètres SA enfant. Configurez ces paramètres pour chaque option de paramètres d’association de sécurité (SA) :

  • Algorithme de chiffrement : Dans la liste, sélectionnez l’algorithme de chiffrement IKE à utiliser. La valeur par défaut est 3DES.

  • Algorithme d’intégrité : Dans la liste, sélectionnez l’algorithme d’intégrité à utiliser. La valeur par défaut est SHA1-96.

  • Groupe Diffie Hellman : Dans la liste, sélectionnez le numéro de groupe Diffie Hellman. La valeur par défaut est 2.

  • Durée de vie IKE en minutes : Saisissez un entier compris entre 10 et 1440 représentant la durée de vie de l’SA (intervalle de renouvellement de clé). La valeur par défaut est 1440 minutes.

• Exceptions de service : Pour les protocoles AlwaysOn. Les exceptions de service sont des services système exemptés du VPN AlwaysOn. Configurez ces paramètres d’exceptions de service :

  • Messagerie vocale : Dans la liste, sélectionnez la manière de gérer l’exception de messagerie vocale. La valeur par défaut est Autoriser le trafic via le tunnel.

  • AirPrint : Dans la liste, sélectionnez la manière de gérer l’exception AirPrint. La valeur par défaut est Autoriser le trafic via le tunnel.

  • Autoriser le trafic depuis la feuille Web captive en dehors du tunnel VPN : Sélectionnez si vous souhaitez autoriser les utilisateurs à se connecter aux points d’accès publics en dehors du tunnel VPN. La valeur par défaut est Désactivé.

  • Autoriser le trafic depuis toutes les applications réseau captives en dehors du tunnel VPN : Sélectionnez si vous souhaitez autoriser toutes les applications réseau de point d’accès en dehors du tunnel VPN. La valeur par défaut est Désactivé.

  • Identifiants de bundle d’applications réseau captives : Pour chaque identifiant de bundle d’application réseau de point d’accès auquel les utilisateurs sont autorisés à accéder, cliquez sur Ajouter et saisissez l’Identifiant de bundle de l’application réseau de point d’accès. Cliquez sur Enregistrer pour enregistrer l’identifiant de bundle d’application.

• VPN par application. Configurez ces paramètres pour les types de connexion IKEv2.

  • Activer le VPN par application : Sélectionnez si vous souhaitez activer le VPN par application. La valeur par défaut est Désactivé.
  • Correspondance d’application à la demande activée : Sélectionnez si les connexions VPN par application se déclenchent automatiquement lorsque les applications liées au service VPN par application initient une communication réseau. La valeur par défaut est Désactivé.
  • Domaines Safari : Cliquez sur Ajouter pour ajouter un nom de domaine Safari.

• Configuration du proxy : Choisissez comment la connexion VPN est acheminée via un serveur proxy. La valeur par défaut est Aucun.

Configurer le protocole Citrix SSO pour iOS

Le client Citrix SSO est disponible dans l’Apple Store à l’adresse https://apps.apple.com/us/app/citrix-sso/id1333396910.

• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte utilisateur : Saisissez un compte utilisateur facultatif.
• Type d’authentification pour la connexion : Dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification de cette connexion. La valeur par défaut est Mot de passe.
  • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
  • Si vous activez Certificat, configurez ces paramètres :
    • Informations d’identification d’identité : Dans la liste, sélectionnez les informations d’identification d’identité à utiliser. La valeur par défaut est Aucun.
    • Demander le code PIN lors de la connexion : Sélectionnez si vous souhaitez demander aux utilisateurs leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est DÉSACTIVÉ.
    • Activer le VPN à la demande : Sélectionnez si vous souhaitez activer le déclenchement d’une connexion VPN lorsque les utilisateurs se connectent au réseau. La valeur par défaut est DÉSACTIVÉ. Pour plus d’informations sur la configuration des paramètres lorsque Activer le VPN à la demande est Activé, consultez Configurer les paramètres d’activation du VPN à la demande pour iOS.
• Activer le VPN par application : Sélectionnez si vous souhaitez activer le VPN par application. La valeur par défaut est Désactivé. Si vous définissez cette option sur ACTIVÉ, configurez les paramètres suivants :
  • Correspondance d’application à la demande activée : Sélectionnez si les connexions VPN par application se déclenchent automatiquement lorsque les applications liées au service VPN par application initient une communication réseau.
  • Type de fournisseur : Sélectionnez si le VPN par application est fourni en tant que Proxy d’application ou Tunnel de paquets. La valeur par défaut est Proxy d’application.
  • Type de fournisseur : Définissez sur Tunnel de paquets.
  • Domaines Safari : Pour chaque domaine Safari pouvant déclencher une connexion VPN par application que vous souhaitez inclure, cliquez sur Ajouter et effectuez les opérations suivantes :
    • Domaine : Saisissez le domaine à ajouter.
    • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas enregistrer le domaine.
• XML personnalisé : Pour chaque paramètre XML personnalisé que vous souhaitez ajouter, cliquez sur Ajouter et spécifiez les paires clé/valeur. Les paramètres disponibles sont :
  • disableL3 : Désactive le VPN au niveau du système. Autorise uniquement le VPN par application. Aucune Valeur n’est nécessaire.
  • useragent : Associe à cette stratégie d’appareil toutes les stratégies Citrix Gateway qui ciblent les clients de plug-in VPN. Pour les requêtes initiées par le plug-in, la Valeur de cette clé est automatiquement ajoutée au plug-in VPN.

Configurer le protocole SSL personnalisé pour iOS

Pour passer du client Cisco Legacy AnyConnect au client Cisco AnyConnect :

1. Configurez la stratégie d’appareil VPN avec le protocole SSL personnalisé. Déployez la stratégie sur les appareils iOS.
2. Téléchargez le client Cisco AnyConnect depuis https://apps.apple.com/us/app/cisco-anyconnect/id1135064690, ajoutez l’application à XenMobile, puis déployez l’application sur les appareils iOS.
3. Supprimez l’ancienne stratégie d’appareil VPN des appareils iOS.

Paramètres :

• Identifiant SSL personnalisé (format DNS inversé) : Définissez sur l’identifiant de bundle. Pour le client Cisco AnyConnect, utilisez com.cisco.anyconnect.
• Identifiant de bundle du fournisseur : Si l’application spécifiée dans Identifiant SSL personnalisé a plusieurs fournisseurs VPN du même type (Proxy d’application ou Tunnel de paquets), spécifiez alors cet identifiant de bundle. Pour le client Cisco AnyConnect, utilisez com.cisco.anyconnect.
• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte utilisateur : Saisissez un compte utilisateur facultatif.
• Type d’authentification pour la connexion : Dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification de cette connexion. La valeur par défaut est Mot de passe.
  • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
  • Si vous activez Certificat, configurez ces paramètres :
    • Informations d’identification d’identité : Dans la liste, sélectionnez les informations d’identification d’identité à utiliser. La valeur par défaut est Aucun.
    • Demander le code PIN lors de la connexion : Sélectionnez si vous souhaitez demander aux utilisateurs leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est DÉSACTIVÉ.
    • Activer le VPN à la demande : Sélectionnez si vous souhaitez activer le déclenchement d’une connexion VPN lorsque les utilisateurs se connectent au réseau. La valeur par défaut est DÉSACTIVÉ. Pour plus d’informations sur la configuration des paramètres lorsque Activer le VPN à la demande est Activé, consultez Configurer les paramètres d’activation du VPN à la demande pour iOS.
• Activer le VPN par application : Sélectionnez si vous souhaitez activer le VPN par application. La valeur par défaut est Désactivé. Si vous définissez cette option sur ACTIVÉ, configurez les paramètres suivants :
  • Correspondance d’application à la demande activée : Sélectionnez si les connexions VPN par application se déclenchent automatiquement lorsque les applications liées au service VPN par application initient une communication réseau.
  • Type de fournisseur : Un type de fournisseur indique si le fournisseur est un service VPN ou un service proxy. Pour un service VPN, choisissez Tunnel de paquets. Pour un service proxy, choisissez Proxy d’application. Pour le client Cisco AnyConnect, choisissez Tunnel de paquets.
  • Domaines Safari : Pour chaque domaine Safari pouvant déclencher une connexion VPN par application que vous souhaitez inclure, cliquez sur Ajouter et effectuez les opérations suivantes :
    • Domaine : Saisissez le domaine à ajouter.
    • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas enregistrer le domaine.
• XML personnalisé : Pour chaque paramètre XML personnalisé que vous souhaitez ajouter, cliquez sur Ajouter et effectuez les opérations suivantes :
  • Nom du paramètre : Saisissez le nom du paramètre à ajouter.
  • Valeur : Saisissez la valeur associée au Nom du paramètre.
  • Cliquez sur Enregistrer pour enregistrer le paramètre ou cliquez sur Annuler pour ne pas enregistrer le paramètre.

Configurer la stratégie de périphérique VPN pour prendre en charge le NAC

1. Le type de connexion SSL personnalisé est requis pour configurer le filtre NAC.
2. Spécifiez un nom de connexion VPN.
3. Pour l’identifiant SSL personnalisé, tapez com.citrix.NetScalerGateway.ios.app
4. Pour l’identifiant de bundle du fournisseur, tapez com.citrix.NetScalerGateway.ios.app.vpnplugin

Les valeurs des étapes 3 et 4 proviennent de l’installation Citrix SSO requise pour le filtrage NAC. Vous ne configurez pas de mot de passe d’authentification. Pour plus d’informations sur l’utilisation de la fonction NAC, consultez Contrôle d’accès réseau.

Configurer les options VPN à la demande pour iOS

• Domaine à la demande : Pour chaque domaine et l’action associée à effectuer lorsque les utilisateurs se connectent, cliquez sur Ajouter et procédez comme suit :
• Domaine : Tapez le domaine à ajouter.
• Action : Dans la liste, sélectionnez l’une des actions possibles :
  • Toujours établir : Le domaine déclenche toujours une connexion VPN.
  • Ne jamais établir : Le domaine ne déclenche jamais de connexion VPN.
  • Établir si nécessaire : Le domaine déclenche une tentative de connexion VPN si la résolution du nom de domaine échoue. L’échec se produit lorsque le serveur DNS ne peut pas résoudre le domaine, redirige vers un autre serveur ou expire.
  • Cliquez sur Enregistrer pour enregistrer le domaine ou sur Annuler pour ne pas enregistrer le domaine.
• Règles à la demande
  • Action : Dans la liste, sélectionnez l’action à effectuer. La valeur par défaut est EvaluateConnection. Les actions possibles sont :
    • Autoriser : Autorise la connexion VPN à la demande lorsqu’elle est déclenchée.
    • Connecter : Démarre inconditionnellement une connexion VPN.
    • Déconnecter : Supprime la connexion VPN et ne se reconnecte pas à la demande tant que la règle correspond.
    • EvaluateConnection : Évalue le tableau ActionParameters pour chaque connexion.
    • Ignorer : Laisse toute connexion VPN existante active, mais ne se reconnecte pas à la demande tant que la règle correspond.
  • DNSDomainMatch : Pour chaque domaine avec lequel la liste de domaines de recherche d’un appareil peut correspondre et que vous souhaitez ajouter, cliquez sur Ajouter et procédez comme suit :
    • Domaine DNS : Tapez le nom de domaine. Vous pouvez utiliser le préfixe générique « * » pour faire correspondre plusieurs domaines. Par exemple, *.example.com correspond à mydomain.example.com, yourdomain.example.com et herdomain.example.com.
    • Cliquez sur Enregistrer pour enregistrer le domaine ou sur Annuler pour ne pas enregistrer le domaine.
  • DNSServerAddressMatch : Pour chaque adresse IP à laquelle l’un des serveurs DNS spécifiés du réseau peut correspondre et que vous souhaitez ajouter, cliquez sur Ajouter et procédez comme suit :
    • Adresse du serveur DNS : Tapez l’adresse du serveur DNS que vous souhaitez ajouter. Vous pouvez utiliser le suffixe générique « * » pour faire correspondre les serveurs DNS. Par exemple, 17.* correspond à n’importe quel serveur DNS du sous-réseau de classe A.
    • Cliquez sur Enregistrer pour enregistrer l’adresse du serveur DNS ou sur Annuler pour ne pas enregistrer l’adresse du serveur DNS.
  • InterfaceTypeMatch : Dans la liste, sélectionnez le type de matériel d’interface réseau principal utilisé. La valeur par défaut est Non spécifié. Les valeurs possibles sont :
    • Non spécifié : Correspond à tout matériel d’interface réseau. Cette option est la valeur par défaut.
    • Ethernet : Correspond uniquement au matériel d’interface réseau Ethernet.
    • Wi-Fi : Correspond uniquement au matériel d’interface réseau Wi-Fi.
    • Cellulaire : Correspond uniquement au matériel d’interface réseau cellulaire.
  • SSIDMatch : Pour chaque SSID à faire correspondre au réseau actuel que vous souhaitez ajouter, cliquez sur Ajouter et procédez comme suit.
    • SSID : Tapez le SSID à ajouter. Si le réseau n’est pas un réseau Wi-Fi, ou si le SSID n’apparaît pas, la correspondance échoue. Laissez cette liste vide pour faire correspondre n’importe quel SSID.
    • Cliquez sur Enregistrer pour enregistrer le SSID ou sur Annuler pour ne pas enregistrer le SSID.
  • URLStringProbe : Tapez une URL à récupérer. Si cette URL est récupérée avec succès sans redirection, cette règle correspond.
  • ActionParameters : Domaines : Pour chaque domaine que EvaluateConnection vérifie et que vous souhaitez ajouter, cliquez sur Ajouter et procédez comme suit :
    • Domaine : Tapez le domaine à ajouter.
    • Cliquez sur Enregistrer pour enregistrer le domaine ou sur Annuler pour ne pas enregistrer le domaine.
  • ActionParameters : DomainAction : Dans la liste, sélectionnez le comportement VPN pour les domaines ActionParameters : Domaines spécifiés. La valeur par défaut est ConnectIfNeeded. Les actions possibles sont :
    • ConnectIfNeeded : Le domaine déclenche une tentative de connexion VPN si la résolution du nom de domaine échoue. L’échec se produit lorsque le serveur DNS ne peut pas résoudre le domaine, redirige vers un autre serveur ou expire.
    • NeverConnect : Le domaine ne déclenche jamais de connexion VPN.
  • Paramètres d’action : Serveurs DNS requis : Pour chaque adresse IP de serveur DNS à utiliser pour résoudre les domaines spécifiés, cliquez sur Ajouter et procédez comme suit :
    • Serveur DNS : Valide uniquement lorsque ActionParameters : DomainAction = ConnectIfNeeded. Tapez le serveur DNS à ajouter. Ce serveur n’a pas besoin de faire partie de la configuration réseau actuelle de l’appareil. Si le serveur DNS n’est pas joignable, une connexion VPN est établie en réponse. Ce serveur DNS doit être un serveur DNS interne ou un serveur DNS externe de confiance.
    • Cliquez sur Enregistrer pour enregistrer le serveur DNS ou sur Annuler pour ne pas enregistrer le serveur DNS.
  • ActionParameters : RequiredURLStringProbe : Vous pouvez éventuellement taper une URL HTTP ou HTTPS (préférable) à sonder, en utilisant une requête GET. Si le nom d’hôte de l’URL ne peut pas être résolu, si le serveur est inaccessible ou si le serveur ne répond pas, une connexion VPN est établie. Valide uniquement lorsque ActionParameters : DomainAction = ConnectIfNeeded.
  • OnDemandRules : Contenu XML : Tapez ou copiez-collez les règles de configuration XML à la demande.
    • Cliquez sur Vérifier le dictionnaire pour valider le code XML. Vous verrez « XML valide » en vert sous la zone de texte Contenu XML si le XML est valide. S’il n’est pas valide, un message d’erreur en orange décrivant l’erreur s’affiche.
• Proxy
  • Configuration du proxy : Dans la liste, sélectionnez la manière dont la connexion VPN est acheminée via un serveur proxy. La valeur par défaut est Aucun.
    • Si vous activez Manuel, configurez ces paramètres :
      • Nom d’hôte ou adresse IP du serveur proxy : Tapez le nom d’hôte ou l’adresse IP du serveur proxy. Ce champ est obligatoire.
      • Port du serveur proxy : Tapez le numéro de port du serveur proxy. Ce champ est obligatoire.
      • Nom d’utilisateur : Tapez un nom d’utilisateur de serveur proxy facultatif.
      • Mot de passe : Tapez un mot de passe de serveur proxy facultatif.
    • Si vous configurez Automatique, configurez ce paramètre :
      • URL du serveur proxy : Tapez l’URL du serveur proxy. Ce champ est obligatoire.
• Paramètres de stratégie
  • Sous Paramètres de stratégie, à côté de Supprimer la stratégie, sélectionnez Sélectionner une date ou Durée avant suppression (en heures).
  • Si vous sélectionnez Sélectionner une date, cliquez sur le calendrier pour sélectionner la date de suppression spécifique.
  • Dans la liste Autoriser l’utilisateur à supprimer la stratégie, sélectionnez Toujours, Mot de passe requis ou Jamais.
  • Si vous sélectionnez Mot de passe requis, à côté de Mot de passe de suppression, tapez le mot de passe nécessaire.

Configurer un VPN par application

Les options VPN par application pour iOS sont disponibles pour les types de connexion suivants : Cisco Legacy AnyConnect, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Ariba VIA, Citrix VPN, Citrix SSO et SSL personnalisé.

Pour configurer un VPN par application :

1. Dans Configurer > Stratégies de périphérique, créez une stratégie VPN. Par exemple :

   

   

2. Dans Configurer > Stratégies de périphérique, créez une stratégie d’attributs d’application pour associer une application à la stratégie VPN par application. Pour l’identifiant VPN par application, choisissez le nom de la stratégie VPN créée à l’étape 1. Pour l’ID de bundle d’application gérée, choisissez dans la liste des applications ou tapez l’ID de bundle d’application. (Si vous déployez une stratégie d’inventaire d’applications iOS, la liste des applications contient des applications.)

   

• Paramètres de stratégie
  • Supprimer la stratégie : Choisissez une méthode pour planifier la suppression de la stratégie. Les options disponibles sont Sélectionner une date et Durée avant suppression (en heures)
    • Sélectionner une date : Cliquez sur le calendrier pour sélectionner la date de suppression spécifique.
    • Durée avant suppression (en heures) : Tapez un nombre, en heures, jusqu’à ce que la suppression de la stratégie se produise. Disponible uniquement pour iOS 6.0 et versions ultérieures.

Paramètres macOS

• Nom de la connexion : Tapez un nom pour la connexion.
• Type de connexion : Dans la liste, sélectionnez le protocole à utiliser pour cette connexion. La valeur par défaut est L2TP.
  • L2TP : Protocole de tunnellisation de couche 2 avec authentification par clé pré-partagée.
  • PPTP : Tunnellisation point à point.
  • IPSec : Votre connexion VPN d’entreprise.
  • Cisco AnyConnect : Client VPN Cisco AnyConnect.
  • Juniper SSL : Client VPN SSL Juniper Networks.
  • F5 SSL : Client VPN SSL F5 Networks.
  • SonicWALL Mobile Connect : Client VPN unifié Dell pour iOS.
  • Ariba VIA : Client d’accès Internet virtuel Ariba Networks.
  • Citrix VPN : Client VPN Citrix.
  • SSL personnalisé : Secure Socket Layer personnalisé.

Les sections suivantes répertorient les options de configuration pour chacun des types de connexion précédents.

Configurer le protocole L2TP pour macOS

• Nom du serveur ou adresse IP : Tapez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte utilisateur : Tapez un compte utilisateur facultatif.
• Sélectionnez Authentification par mot de passe, Authentification RSA SecurID, Authentification Kerberos ou Authentification CryptoCard. La valeur par défaut est Authentification par mot de passe.
• Secret partagé : Tapez la clé secrète partagée IPsec.
• Envoyer tout le trafic : Sélectionnez si tout le trafic doit être envoyé via le VPN. La valeur par défaut est Désactivé.

Configurer le protocole PPTP pour macOS

• Nom du serveur ou adresse IP : Tapez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte utilisateur : Tapez un compte utilisateur facultatif.
• Sélectionnez Authentification par mot de passe, Authentification RSA SecurID, Authentification Kerberos ou Authentification CryptoCard. La valeur par défaut est Authentification par mot de passe.
• Niveau de chiffrement : Sélectionnez le niveau de chiffrement souhaité. La valeur par défaut est Aucun.
  • Aucun : N’utilise aucun chiffrement.
  • Automatique : Utilise le niveau de chiffrement le plus fort pris en charge par le serveur.
  • Maximum (128 bits) : Utilise toujours le chiffrement 128 bits.
• Envoyer tout le trafic : Sélectionnez si tout le trafic doit être envoyé via le VPN. La valeur par défaut est Désactivé.

Configurer le protocole IPsec pour macOS

• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte d’utilisateur : Saisissez un compte d’utilisateur facultatif.
• Type d’authentification pour la connexion : Dans la liste, sélectionnez « Secret partagé » ou « Certificat » pour le type d’authentification de cette connexion. La valeur par défaut est « Secret partagé ».
  • Si vous activez l’authentification par « Secret partagé », configurez les paramètres suivants :
    • Nom du groupe : Saisissez un nom de groupe facultatif.
    • Secret partagé : Saisissez une clé de secret partagé facultative.
    • Utiliser l’authentification hybride : Sélectionnez si vous souhaitez utiliser l’authentification hybride. Avec l’authentification hybride, le serveur s’authentifie d’abord auprès du client, puis le client s’authentifie auprès du serveur. La valeur par défaut est « Désactivé ».
    • Demander le mot de passe : Sélectionnez si vous souhaitez demander aux utilisateurs leur mot de passe lorsqu’ils se connectent au réseau. La valeur par défaut est « Désactivé ».
  • Si vous activez l’authentification par « Certificat », configurez les paramètres suivants :
    • Informations d’identification : Dans la liste, sélectionnez les informations d’identification à utiliser. La valeur par défaut est « Aucun ».
    • Demander le code PIN lors de la connexion : Sélectionnez si vous souhaitez demander aux utilisateurs de saisir leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est « Désactivé ».
    • Activer le VPN à la demande : Sélectionnez si vous souhaitez activer le déclenchement d’une connexion VPN lorsque les utilisateurs se connectent au réseau. La valeur par défaut est « Désactivé ». Pour plus d’informations sur la configuration des paramètres lorsque « Activer le VPN à la demande » est « Activé », consultez Configurer les options d’activation du VPN à la demande.

Configurer le protocole Cisco AnyConnect pour macOS

• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte d’utilisateur : Saisissez un compte d’utilisateur facultatif.
• Groupe : Saisissez un nom de groupe facultatif.
• Type d’authentification pour la connexion : Dans la liste, sélectionnez « Mot de passe » ou « Certificat » pour le type d’authentification de cette connexion. La valeur par défaut est « Mot de passe ».
  • Si vous activez « Mot de passe », saisissez un mot de passe d’authentification facultatif dans le champ « Mot de passe d’authentification ».
  • Si vous activez « Certificat », configurez les paramètres suivants :
    • Informations d’identification : Dans la liste, sélectionnez les informations d’identification à utiliser. La valeur par défaut est « Aucun ».
    • Demander le code PIN lors de la connexion : Sélectionnez si vous souhaitez demander aux utilisateurs de saisir leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est « Désactivé ».
    • Activer le VPN à la demande : Sélectionnez si vous souhaitez activer le déclenchement d’une connexion VPN lorsque les utilisateurs se connectent au réseau. La valeur par défaut est « Désactivé ». Pour plus d’informations sur la configuration des paramètres lorsque « Activer le VPN à la demande » est « Activé », consultez Configurer les options d’activation du VPN à la demande.
  • Activer le VPN par application : Sélectionnez si vous souhaitez activer le VPN par application. La valeur par défaut est « Désactivé ». Si vous activez cette option, configurez les paramètres suivants :
    • Correspondance d’application à la demande activée : Sélectionnez si une connexion VPN par application se déclenche automatiquement lorsque les applications liées au service VPN par application démarrent la communication réseau. La valeur par défaut est « Désactivé ».
    • Domaines Safari : Pour chaque domaine Safari pouvant déclencher une connexion VPN par application que vous souhaitez inclure, cliquez sur « Ajouter » et effectuez les opérations suivantes :
      • Domaine : Saisissez le domaine à ajouter.
      • Cliquez sur « Enregistrer » pour enregistrer le domaine ou sur « Annuler » pour ne pas enregistrer le domaine.

Configurer le protocole Juniper SSL pour macOS

• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte d’utilisateur : Saisissez un compte d’utilisateur facultatif.
• Domaine : Saisissez un nom de domaine facultatif.
• Rôle : Saisissez un nom de rôle facultatif.
• Type d’authentification pour la connexion : Dans la liste, sélectionnez « Mot de passe » ou « Certificat » pour le type d’authentification de cette connexion. La valeur par défaut est « Mot de passe ».
  • Si vous activez « Mot de passe », saisissez un mot de passe d’authentification facultatif dans le champ « Mot de passe d’authentification ».
  • Si vous activez « Certificat », configurez les paramètres suivants :
    • Informations d’identification : Dans la liste, sélectionnez les informations d’identification à utiliser. La valeur par défaut est « Aucun ».
    • Demander le code PIN lors de la connexion : Sélectionnez si vous souhaitez demander aux utilisateurs de saisir leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est « Désactivé ».
    • Activer le VPN à la demande : Sélectionnez si vous souhaitez activer le déclenchement d’une connexion VPN lorsque les utilisateurs se connectent au réseau. La valeur par défaut est « Désactivé ». Pour plus d’informations sur la configuration des paramètres lorsque « Activer le VPN à la demande » est « Activé », consultez Configurer les paramètres d’activation du VPN à la demande.
• Activer le VPN par application : Sélectionnez si vous souhaitez activer le VPN par application. La valeur par défaut est « Désactivé ». Si vous activez cette option, configurez les paramètres suivants :
  • Correspondance d’application à la demande activée : Sélectionnez si une connexion VPN par application se déclenche automatiquement lorsque les applications liées au service VPN par application initient la communication réseau. La valeur par défaut est « Désactivé ».
  • Domaines Safari : Pour chaque domaine Safari pouvant déclencher une connexion VPN par application que vous souhaitez inclure, cliquez sur « Ajouter » et effectuez les opérations suivantes :
    • Domaine : Saisissez le domaine à ajouter.
    • Cliquez sur « Enregistrer » pour enregistrer le domaine ou sur « Annuler » pour ne pas enregistrer le domaine.

Configurer le protocole F5 SSL pour macOS

• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte d’utilisateur : Saisissez un compte d’utilisateur facultatif.
• Type d’authentification pour la connexion : Dans la liste, sélectionnez « Mot de passe » ou « Certificat » pour le type d’authentification de cette connexion. La valeur par défaut est « Mot de passe ».
  • Si vous activez « Mot de passe », saisissez un mot de passe d’authentification facultatif dans le champ « Mot de passe d’authentification ».
  • Si vous activez « Certificat », configurez les paramètres suivants :
    • Informations d’identification : Dans la liste, sélectionnez les informations d’identification à utiliser. La valeur par défaut est « Aucun ».
    • Demander le code PIN lors de la connexion : Sélectionnez si vous souhaitez demander aux utilisateurs de saisir leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est « Désactivé ».
    • Activer le VPN à la demande : Sélectionnez si vous souhaitez activer le déclenchement d’une connexion VPN lorsque les utilisateurs se connectent au réseau. La valeur par défaut est « Désactivé ». Pour plus d’informations sur la configuration des paramètres lorsque « Activer le VPN à la demande » est « Activé », consultez Configurer les paramètres d’activation du VPN à la demande.
• Activer le VPN par application : Sélectionnez si vous souhaitez activer le VPN par application. La valeur par défaut est « Désactivé ». Si vous activez cette option, configurez les paramètres suivants :
  • Correspondance d’application à la demande activée : Sélectionnez si une connexion VPN par application se déclenche automatiquement lorsque les applications liées au service VPN par application démarrent la communication réseau. La valeur par défaut est « Désactivé ».
  • Domaines Safari : Pour chaque domaine Safari pouvant déclencher une connexion VPN par application que vous souhaitez inclure, cliquez sur « Ajouter » et effectuez les opérations suivantes :
    • Domaine : Saisissez le domaine à ajouter.
    • Cliquez sur « Enregistrer » pour enregistrer le domaine ou sur « Annuler » pour ne pas enregistrer le domaine.

Configurer le protocole SonicWALL Mobile Connect pour macOS

• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte d’utilisateur : Saisissez un compte d’utilisateur facultatif.
• Groupe ou domaine de connexion : Saisissez un groupe ou un domaine de connexion facultatif.
• Type d’authentification pour la connexion : Dans la liste, sélectionnez « Mot de passe » ou « Certificat » pour le type d’authentification de cette connexion. La valeur par défaut est « Mot de passe ».
  • Si vous activez « Mot de passe », saisissez un mot de passe d’authentification facultatif dans le champ « Mot de passe d’authentification ».
  • Si vous activez « Certificat », configurez les paramètres suivants :
    • Informations d’identification : Dans la liste, sélectionnez les informations d’identification à utiliser. La valeur par défaut est « Aucun ».
    • Demander le code PIN lors de la connexion : Sélectionnez si vous souhaitez demander aux utilisateurs de saisir leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est « Désactivé ».
    • Activer le VPN à la demande : Sélectionnez si vous souhaitez activer le déclenchement d’une connexion VPN lorsque les utilisateurs se connectent au réseau. La valeur par défaut est « Désactivé ». Pour plus d’informations sur la configuration des paramètres lorsque « Activer le VPN à la demande » est « Activé », consultez Configurer les paramètres d’activation du VPN à la demande.
• Activer le VPN par application : Sélectionnez si vous souhaitez activer le VPN par application. La valeur par défaut est « Désactivé ». Si vous activez cette option, configurez les paramètres suivants :
  • Correspondance d’application à la demande activée : Sélectionnez si une connexion VPN par application se déclenche automatiquement lorsque les applications liées au service VPN par application initient la communication réseau. La valeur par défaut est « Désactivé ».
  • Domaines Safari : Pour chaque domaine Safari pouvant déclencher une connexion VPN par application que vous souhaitez inclure, cliquez sur « Ajouter » et effectuez les opérations suivantes :
    • Domaine : Saisissez le domaine à ajouter.
    • Cliquez sur « Enregistrer » pour enregistrer le domaine ou sur « Annuler » pour ne pas enregistrer le domaine.

Configurer le protocole Ariba VIA pour macOS

• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN.
• Compte d’utilisateur : Saisissez un compte d’utilisateur facultatif.
• Type d’authentification pour la connexion : Dans la liste, sélectionnez « Mot de passe » ou « Certificat » pour le type d’authentification de cette connexion. La valeur par défaut est « Mot de passe ».
  • Si vous activez « Mot de passe », saisissez un mot de passe d’authentification facultatif dans le champ « Mot de passe d’authentification ».
  • Si vous activez « Certificat », configurez les paramètres suivants :
    • Informations d’identification : Dans la liste, sélectionnez les informations d’identification à utiliser. La valeur par défaut est « Aucun ».
    • Demander le code PIN lors de la connexion : Sélectionnez si vous souhaitez demander aux utilisateurs de saisir leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est « Désactivé ».
    • Activer le VPN à la demande : Sélectionnez si vous souhaitez activer le déclenchement d’une connexion VPN lorsque les utilisateurs se connectent au réseau. La valeur par défaut est « Désactivé ». Pour plus d’informations sur la configuration des paramètres lorsque « Activer le VPN à la demande » est « Activé », consultez Configurer les paramètres d’activation du VPN à la demande.
• Activer le VPN par application : Sélectionnez si vous souhaitez activer le VPN par application. La valeur par défaut est « Désactivé ». Si vous activez cette option, configurez les paramètres suivants :
  • Correspondance d’application à la demande activée : Sélectionnez si une connexion VPN par application se déclenche automatiquement lorsque les applications liées au service VPN par application initient la communication réseau. La valeur par défaut est « Désactivé ».
  • Domaines Safari : Pour chaque domaine Safari pouvant déclencher une connexion VPN par application que vous souhaitez inclure, cliquez sur « Ajouter » et effectuez les opérations suivantes :
    • Domaine : Saisissez le domaine à ajouter.
    • Cliquez sur « Enregistrer » pour enregistrer le domaine ou sur « Annuler » pour ne pas enregistrer le domaine.

Configurer le protocole SSL personnalisé pour macOS

• Identifiant SSL personnalisé (format DNS inversé) : Saisissez l’identifiant SSL au format DNS inversé. Ce champ est obligatoire.
• Nom du serveur ou adresse IP : Saisissez le nom du serveur ou l’adresse IP du serveur VPN. Ce champ est obligatoire.
• Compte d’utilisateur : Saisissez un compte d’utilisateur facultatif.
  • Type d’authentification pour la connexion : Dans la liste, sélectionnez « Mot de passe » ou « Certificat » pour le type d’authentification de cette connexion. La valeur par défaut est « Mot de passe ».
  • Si vous activez « Mot de passe », saisissez un mot de passe d’authentification facultatif dans le champ « Mot de passe d’authentification ».
  • Si vous activez « Certificat », configurez les paramètres suivants :
    • Informations d’identification : Dans la liste, sélectionnez les informations d’identification à utiliser. La valeur par défaut est « Aucun ».
    • Demander le code PIN lors de la connexion : Sélectionnez si vous souhaitez demander aux utilisateurs de saisir leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est « Désactivé ».
    • Activer le VPN à la demande : Sélectionnez si vous souhaitez activer le déclenchement d’une connexion VPN lorsque les utilisateurs se connectent au réseau. La valeur par défaut est « Désactivé ». Pour plus d’informations sur la configuration des paramètres lorsque « Activer le VPN à la demande » est « Activé », consultez Configurer les paramètres d’activation du VPN à la demande.
  • VPN par application : Sélectionnez si vous souhaitez activer le VPN par application. La valeur par défaut est « Désactivé ». Si vous activez cette option, configurez les paramètres suivants :
    • Correspondance d’application à la demande activée : Sélectionnez si les connexions VPN par application se déclenchent automatiquement lorsque les applications liées au service VPN par application initient la communication réseau.
    • Domaines Safari : Pour chaque domaine Safari pouvant déclencher une connexion VPN par application que vous souhaitez inclure, cliquez sur « Ajouter » et effectuez les opérations suivantes :
      • Domaine : Saisissez le domaine à ajouter.
      • Cliquez sur « Enregistrer » pour enregistrer le domaine ou sur « Annuler » pour ne pas enregistrer le domaine.
• XML personnalisé : Pour chaque paramètre XML personnalisé que vous souhaitez ajouter, cliquez sur « Ajouter » et effectuez les opérations suivantes :
  • Nom du paramètre : Saisissez le nom du paramètre à ajouter.
  • Valeur : Saisissez la valeur associée au « Nom du paramètre ».
  • Cliquez sur « Enregistrer » pour enregistrer le domaine ou sur « Annuler » pour ne pas enregistrer le domaine.

Configurer les options d’activation du VPN à la demande

• Domaine à la demande : Pour chaque domaine et l’action associée à entreprendre lorsque les utilisateurs s’y connectent que vous souhaitez ajouter, cliquez sur « Ajouter » et effectuez les opérations suivantes :
  • Domaine : Saisissez le domaine à ajouter.
  • Action : Dans la liste, sélectionnez l’une des actions possibles :
    • Toujours établir : Le domaine déclenche toujours une connexion VPN.
    • Ne jamais établir : Le domaine ne déclenche jamais de connexion VPN.
    • Établir si nécessaire : Le domaine déclenche une tentative de connexion VPN si la résolution du nom de domaine échoue. L’échec se produit lorsque le serveur DNS ne peut pas résoudre le domaine, redirige vers un autre serveur ou expire.
  • Cliquez sur « Enregistrer » pour enregistrer le domaine ou sur « Annuler » pour ne pas enregistrer le domaine.
• Règles à la demande
  • Action : Dans la liste, sélectionnez l’action à entreprendre. La valeur par défaut est « EvaluateConnection ». Les actions possibles sont :
    • Autoriser : Autorise le VPN à la demande à se connecter lorsqu’il est déclenché.
    • Connecter : Initie inconditionnellement une connexion VPN.
    • Déconnecter : Supprime la connexion VPN et ne se reconnecte pas à la demande tant que la règle correspond.
    • EvaluateConnection : Évalue le tableau « ActionParameters » pour chaque connexion.
    • Ignorer : Laisse toute connexion VPN existante active, mais ne se reconnecte pas à la demande tant que la règle correspond.
  • Correspondance de domaine DNS : Pour chaque domaine avec lequel la liste de domaines de recherche d’un appareil utilisateur peut correspondre que vous souhaitez ajouter, cliquez sur « Ajouter » et effectuez les opérations suivantes :
    • Domaine DNS : Saisissez le nom de domaine. Vous pouvez utiliser le préfixe générique « * » pour faire correspondre plusieurs domaines. Par exemple, *.example.com correspond à mydomain.example.com, yourdomain.example.com et herdomain.example.com.
    • Cliquez sur « Enregistrer » pour enregistrer le domaine ou sur « Annuler » pour ne pas enregistrer le domaine.
  • Correspondance d’adresse de serveur DNS : Pour chaque adresse IP avec laquelle l’un des serveurs DNS spécifiés du réseau peut correspondre que vous souhaitez ajouter, cliquez sur « Ajouter » et effectuez les opérations suivantes :
    • Adresse du serveur DNS : Saisissez l’adresse du serveur DNS que vous souhaitez ajouter. Vous pouvez utiliser le suffixe générique « * » pour faire correspondre les serveurs DNS. Par exemple, 17.* correspond à tout serveur DNS du sous-réseau de classe A.
    • Cliquez sur « Enregistrer » pour enregistrer l’adresse du serveur DNS ou sur « Annuler » pour ne pas enregistrer l’adresse du serveur DNS.
  • Correspondance de type d’interface : Dans la liste, cliquez sur le type de matériel d’interface réseau principal utilisé. La valeur par défaut est « Non spécifié ». Les valeurs possibles sont :
    • Non spécifié : Correspond à tout matériel d’interface réseau. Cette option est la valeur par défaut.
    • Ethernet : Correspond uniquement au matériel d’interface réseau Ethernet.
    • Wi-Fi : Correspond uniquement au matériel d’interface réseau Wi-Fi.
    • Cellulaire : Correspond uniquement au matériel d’interface réseau cellulaire.
  • Correspondance SSID : Pour chaque SSID à faire correspondre au réseau actuel que vous souhaitez ajouter, cliquez sur « Ajouter » et effectuez les opérations suivantes.
    • SSID : Saisissez le SSID à ajouter. Si le réseau n’est pas un réseau Wi-Fi, ou si le SSID n’apparaît pas, la correspondance échoue. Laissez cette liste vide pour faire correspondre n’importe quel SSID.
    • Cliquez sur « Enregistrer » pour enregistrer le SSID ou sur « Annuler » pour ne pas enregistrer le SSID.
  • Sonde de chaîne d’URL : Saisissez une URL à récupérer. Si cette URL est récupérée avec succès sans redirection, cette règle correspond.
  • Paramètres d’action : Domaines : Pour chaque domaine que « EvaluateConnection » vérifie que vous souhaitez ajouter, cliquez sur « Ajouter » et effectuez les opérations suivantes :
    • Domaine : Saisissez le domaine à ajouter.
    • Cliquez sur « Enregistrer » pour enregistrer le domaine ou sur « Annuler » pour ne pas enregistrer le domaine.
  • Paramètres d’action : Action de domaine : Dans la liste, sélectionnez le « comportement VPN » pour les domaines « Paramètres d’action : Domaines » spécifiés. La valeur par défaut est « ConnectIfNeeded ». Les actions possibles sont :
    • Connecter si nécessaire : Le domaine déclenche une tentative de connexion VPN si la résolution du nom de domaine échoue. L’échec se produit lorsque le serveur DNS ne peut pas résoudre le domaine, redirige vers un autre serveur ou expire.
    • Ne jamais se connecter : Le domaine ne déclenche jamais de connexion VPN.
  • Paramètres d’action : Serveurs DNS requis : Pour chaque adresse IP de serveur DNS à utiliser pour résoudre les domaines spécifiés, cliquez sur « Ajouter » et effectuez les opérations suivantes :
    • Serveur DNS : Valide uniquement lorsque « Paramètres d’action » : « Action de domaine » = « ConnectIfNeeded ». Saisissez le serveur DNS à ajouter. Ce serveur n’a pas besoin de faire partie de la configuration réseau actuelle de l’appareil. Si le serveur DNS n’est pas joignable, une connexion VPN est établie en réponse. Ce serveur DNS doit être un serveur DNS interne ou un serveur DNS externe approuvé.
    • Cliquez sur « Enregistrer » pour enregistrer le serveur DNS ou sur « Annuler » pour ne pas enregistrer le serveur DNS.
  • Paramètres d’action : Sonde de chaîne d’URL requise : Saisissez éventuellement une URL HTTP ou HTTPS (préférable) à sonder, à l’aide d’une requête GET. Si le nom d’hôte de l’URL ne peut pas être résolu, le serveur est inaccessible ou le serveur ne répond pas, une connexion VPN est établie. Valide uniquement lorsque « Paramètres d’action » : « Action de domaine » = « ConnectIfNeeded ».
  • Règles à la demande : Contenu XML : Saisissez ou copiez-collez le code XML pour configurer les règles à la demande.
    • Cliquez sur « Vérifier le dictionnaire » pour valider le code XML. Vous verrez « XML valide » en texte vert sous la zone de texte « Contenu XML » si le XML est valide. S’il n’est pas valide, vous verrez un message d’erreur en texte orange décrivant l’erreur.
• Proxy
  • Configuration du proxy : Dans la liste, sélectionnez la manière dont la connexion VPN est acheminée via un serveur proxy. La valeur par défaut est « Aucun ».
    • Si vous activez « Manuel », configurez les paramètres suivants :
      • Nom d’hôte ou adresse IP du serveur proxy : Saisissez le nom d’hôte ou l’adresse IP du serveur proxy. Ce champ est obligatoire.
      • Port du serveur proxy : Saisissez le numéro de port du serveur proxy. Ce champ est obligatoire.
      • Nom d’utilisateur : Saisissez un nom d’utilisateur de serveur proxy facultatif.
      • Mot de passe : Saisissez un mot de passe de serveur proxy facultatif.
    • Si vous configurez « Automatique », configurez ce paramètre :
      • URL du serveur proxy : Saisissez l’URL du serveur proxy. Ce champ est obligatoire.

Paramètres Android

Configurer le protocole VPN Cisco AnyConnect pour Android

• Nom de la connexion : Saisissez un nom pour la connexion VPN Cisco AnyConnect. Ce champ est obligatoire.
• Nom du serveur ou adresse IP : Saisissez le nom ou l’adresse IP du serveur VPN. Ce champ est obligatoire.
• Informations d’identification : Dans la liste, sélectionnez des informations d’identification.
• Serveur VPN de sauvegarde : Saisissez les informations du serveur VPN de sauvegarde.
• Groupe d’utilisateurs : Saisissez les informations du groupe d’utilisateurs.
• Réseaux approuvés
  • Stratégie VPN automatique : Activez ou désactivez cette option pour définir la manière dont le VPN réagit aux réseaux approuvés et non approuvés. Si elle est activée, configurez les paramètres suivants :
    • Stratégie de réseau approuvé : Dans la liste, sélectionnez la stratégie souhaitée. La valeur par défaut est « Déconnecter ». Les options possibles sont :
      • Déconnecter : Le client met fin à la connexion VPN dans le réseau approuvé. Ce paramètre est la valeur par défaut.
      • Connecter : Le client démarre une connexion VPN dans le réseau approuvé.
      • Ne rien faire : Le client n’entreprend aucune action.
      • Suspendre : Lorsqu’un utilisateur établit une session VPN en dehors du réseau approuvé, puis entre dans un réseau configuré comme approuvé, la session VPN est suspendue. Lorsque l’utilisateur quitte à nouveau le réseau approuvé, la session reprend. Ce paramètre élimine la nécessité d’établir une nouvelle session VPN après avoir quitté un réseau approuvé.
    • Stratégie de réseau non approuvé : Dans la liste, sélectionnez la stratégie souhaitée. La valeur par défaut est « Connecter ». Les options possibles sont :
      • Connecter : Le client démarre une connexion VPN dans le réseau non approuvé.
      • Ne rien faire : Le client démarre une connexion VPN dans le réseau non approuvé. Cette option désactive le VPN toujours actif.
  • Domaines approuvés : Pour chaque suffixe de domaine que l’interface réseau possède lorsque le client se trouve dans le réseau approuvé, cliquez sur « Ajouter » et effectuez les opérations suivantes :
    • Domaine : Saisissez le domaine à ajouter.
    • Cliquez sur « Enregistrer » pour enregistrer le domaine ou sur « Annuler » pour ne pas enregistrer le domaine.
  • Serveurs approuvés : Pour chaque adresse de serveur qu’une interface réseau possède lorsque le client se trouve dans le réseau approuvé, cliquez sur « Ajouter » et effectuez les opérations suivantes :
    • Serveurs : Saisissez le serveur à ajouter.
    • Cliquez sur « Enregistrer » pour enregistrer le serveur ou sur « Annuler » pour ne pas enregistrer le serveur.

Configurer le protocole Citrix SSO pour Android

• Nom de la connexion : Saisissez un nom pour la connexion VPN. Ce champ est obligatoire.

• Nom du serveur ou adresse IP : Saisissez le nom de domaine complet (FQDN) ou l’adresse IP de la passerelle Citrix Gateway.

• Type d’authentification pour la connexion : Choisissez un type d’authentification et renseignez les champs qui apparaissent pour ce type :

  • Nom d’utilisateur et Mot de passe : Saisissez vos informations d’identification VPN pour les types d’authentification Mot de passe ou Mot de passe et certificat. Facultatif. Si vous ne fournissez pas les informations d’identification VPN, l’application Citrix VPN vous invite à saisir un nom d’utilisateur et un mot de passe.

  • Informations d’identification d’identité : Apparaît pour les types d’authentification Certificat ou Mot de passe et certificat. Dans la liste, sélectionnez une information d’identification d’identité.

• Activer le VPN par application : Indiquez si vous souhaitez activer le VPN par application. Si vous n’activez pas le VPN par application, tout le trafic passe par le tunnel VPN Citrix. Si vous activez le VPN par application, spécifiez les paramètres suivants. La valeur par défaut est Désactivé.

  • Liste blanche ou Liste noire : Si Liste blanche, toutes les applications autorisées passent par ce VPN. Si Liste noire, toutes les applications, à l’exception de celles figurant sur la liste de blocage, passent par ce VPN.

    Remarque :

    La console XenMobile® Server inclut les termes « liste noire » et « liste blanche ». Nous allons modifier ces termes en « liste de blocage » et « liste d’autorisation » dans une prochaine version.

  • Liste d’applications : Spécifiez les applications autorisées ou bloquées. Cliquez sur Ajouter, puis saisissez une liste de noms de packages d’applications séparés par des virgules.

• XML personnalisé : Cliquez sur Ajouter, puis saisissez les paramètres personnalisés. XenMobile prend en charge les paramètres suivants pour Citrix VPN :

  • DisableUserProfiles : Facultatif. Pour activer ce paramètre, saisissez Oui pour la Valeur. S’il est activé, XenMobile n’affiche pas les connexions VPN ajoutées par l’utilisateur et l’utilisateur ne peut pas ajouter de connexion. Ce paramètre est une restriction globale et s’applique à tous les profils VPN.
  • userAgent : Une valeur de chaîne. Vous pouvez spécifier une chaîne d’agent utilisateur personnalisée à envoyer dans chaque requête HTTP. La chaîne d’agent utilisateur spécifiée est ajoutée à l’agent utilisateur VPN Citrix existant.

Configurer les VPN pour prendre en charge le NAC

1. Utilisez le type de connexion SSL personnalisé pour configurer le filtre NAC.
2. Spécifiez un nom de connexion VPN.
3. Pour le XML personnalisé, cliquez sur Ajouter et effectuez les opérations suivantes :
   • Nom du paramètre : Saisissez XenMobileDeviceId. Ce champ correspond à l’ID de l’appareil à utiliser pour la vérification NAC basée sur l’inscription de l’appareil dans XenMobile. Si XenMobile inscrit et gère l’appareil, la connexion VPN est autorisée. Sinon, l’authentification est refusée au moment de l’établissement du VPN.
   • Valeur : Saisissez DeviceID_${device.id}, qui est la valeur du paramètre XenMobileDeviceId.
   • Cliquez sur Enregistrer pour enregistrer le paramètre.

Configurer les VPN pour Android Enterprise

Pour configurer les VPN pour les appareils Android Enterprise, créez une stratégie d’appareil de configuration gérée pour l’application Citrix SSO. Consultez Configurer les profils VPN pour Android Enterprise.

Paramètres Android Enterprise

• Activer le VPN permanent : Indiquez si le VPN est toujours activé. La valeur par défaut est Désactivé. Lorsqu’il est activé, la connexion VPN reste active jusqu’à ce que l’utilisateur la déconnecte manuellement.
• Package VPN : Saisissez le nom du package de l’application VPN utilisée par les appareils.
• Activer le verrouillage : S’il est désactivé, aucune application ne peut accéder au réseau si une connexion VPN n’existe pas. S’il est activé, les applications que vous configurez dans le paramètre suivant peuvent accéder au réseau, même si une connexion VPN n’existe pas. Disponible pour les appareils Android 10 et versions ultérieures.
• Applications exclues du verrouillage : Cliquez sur Ajouter pour saisir les noms de packages des applications que vous souhaitez exclure du paramètre de verrouillage.

Paramètres Windows pour ordinateurs de bureau/tablettes

• Nom de la connexion : Saisissez un nom pour la connexion. Ce champ est obligatoire.
• Type de profil : Dans la liste, sélectionnez Natif ou Plug-in. La valeur par défaut est Natif.
• Configurer le type de profil natif : Ces paramètres s’appliquent au VPN intégré aux appareils Windows des utilisateurs.
  • Adresse du serveur : Saisissez le nom de domaine complet (FQDN) ou l’adresse IP du serveur VPN. Ce champ est obligatoire.
  • Mémoriser les informations d’identification : Indiquez si vous souhaitez mettre en cache les informations d’identification. La valeur par défaut est Désactivé. Lorsqu’il est activé, les informations d’identification sont mises en cache chaque fois que possible.
  • Suffixe DNS : Saisissez le suffixe DNS.
  • Type de tunnel : Dans la liste, sélectionnez le type de tunnel VPN à utiliser. La valeur par défaut est L2TP. Les options possibles sont :
    • L2TP : Protocole de tunnellisation de couche 2 avec authentification par clé pré-partagée.
    • PPTP : Tunellisation point à point.
    • IKEv2 : Échange de clés Internet version 2.
  • Méthode d’authentification : Dans la liste, sélectionnez la méthode d’authentification à utiliser. La valeur par défaut est EAP. Les options possibles sont :
    • EAP : Protocole d’authentification extensible.
    • MSChapV2 : Utilisez l’authentification Challenge-Handshake de Microsoft pour l’authentification mutuelle. Cette option n’est pas disponible lorsque vous sélectionnez IKEv2 pour le type de tunnel.
  • Méthode EAP : Dans la liste, sélectionnez la méthode EAP à utiliser. La valeur par défaut est TLS. Ce champ n’est pas disponible lorsque l’authentification MSChapV2 est activée. Les options possibles sont :
    • TLS : Sécurité de la couche de transport
    • PEAP : Protocole d’authentification extensible protégé
  • Réseaux approuvés : Saisissez une liste de réseaux séparés par des virgules qui ne nécessitent pas de connexion VPN pour l’accès. Par exemple, lorsque les utilisateurs sont sur le réseau sans fil de votre entreprise, ils peuvent accéder directement aux ressources protégées.
  • Exiger un certificat de carte à puce : Indiquez si vous souhaitez exiger un certificat de carte à puce. La valeur par défaut est Désactivé.
  • Sélectionner automatiquement le certificat client : Indiquez si vous souhaitez choisir automatiquement le certificat client à utiliser pour l’authentification. La valeur par défaut est Désactivé. Cette option n’est pas disponible lorsque vous activez Exiger un certificat de carte à puce.
  • VPN permanent : Indiquez si le VPN est toujours activé. La valeur par défaut est Désactivé. Lorsqu’il est activé, la connexion VPN reste active jusqu’à ce que l’utilisateur la déconnecte manuellement.
  • Ignorer pour le local : Saisissez l’adresse et le numéro de port pour permettre aux ressources locales de contourner le serveur proxy.
• Configurer le type de profil de plug-in : Ces paramètres s’appliquent aux plug-ins VPN obtenus du Windows Store et installés sur les appareils des utilisateurs.
  • Adresse du serveur : Saisissez le nom de domaine complet (FQDN) ou l’adresse IP du serveur VPN. Ce champ est obligatoire.
  • Mémoriser les informations d’identification : Indiquez si vous souhaitez mettre en cache les informations d’identification. La valeur par défaut est Désactivé. Lorsqu’il est activé, les informations d’identification sont mises en cache chaque fois que possible.
  • Suffixe DNS : Saisissez le suffixe DNS.
  • ID d’application client : Saisissez le nom de famille du package pour le plug-in VPN.
  • XML de profil de plug-in : Sélectionnez le profil de plug-in VPN personnalisé à utiliser en cliquant sur Parcourir et en accédant à l’emplacement du fichier. Contactez le fournisseur du plug-in pour connaître le format et les détails.
  • Réseaux approuvés : Saisissez une liste de réseaux séparés par des virgules qui ne nécessitent pas de connexion VPN pour l’accès. Par exemple, lorsque les utilisateurs sont sur le réseau sans fil de votre entreprise, ils peuvent accéder directement aux ressources protégées.
  • VPN permanent : Indiquez si le VPN est toujours activé. La valeur par défaut est Désactivé. Lorsqu’il est activé, la connexion VPN reste active jusqu’à ce que l’utilisateur la déconnecte manuellement.
  • Ignorer pour le local : Saisissez l’adresse et le numéro de port pour permettre aux ressources locales de contourner le serveur proxy.