Stratégie VPN

Vous pouvez ajouter une stratégie dans XenMobile pour configurer des paramètres de réseau privé virtuel (VPN) permettant aux appareils de se connecter de manière sécurisée aux ressources d’entreprise. Vous pouvez configurer la stratégie VPN pour les plates-formes suivantes. Chaque plate-forme requiert des valeurs différentes, qui sont décrites en détail dans cet article.

Pour ajouter ou configurer cette stratégie, accédez à Configurer > Stratégies d’appareil. Pour de plus amples informations, consultez la section Stratégies d’appareil.

Paramètres iOS

Image de l'écran de configuration Stratégies d'appareil

  • Nom de la connexion : entrez un nom pour la connexion.
  • Type de connexion : dans la liste, cliquez sur le protocole à utiliser pour cette connexion : La valeur par défaut est L2TP.
    • L2TP : Layer 2 Tunneling Protocol avec authentification par clé pré-partagée.
    • PPTP : protocole PPTP.
    • IPSec : votre connexion VPN d’entreprise.
    • Cisco Legacy AnyConnect : ce type de connexion requiert que le client Cisco Legacy AnyConnect VPN soit installé sur la machine utilisateur. Cisco élimine progressivement le client Cisco Legacy AnyConnect, basé sur une infrastructure VPN désormais obsolète. Pour de plus amples informations, consultez l’article de l’assistance XenMobile https://support.citrix.com/article/CTX227708.

      Pour utiliser le client Cisco AnyConnect actuel, utilisez un Type de connexion de SSL personnalisé. Pour plus d’informations sur les paramètres requis, consultez « Configurer le protocole SSL personnalisé » dans cette section.

    • Juniper SSL : client Juniper Networks SSL VPN.
    • F5 SSL : client F5 Networks SSL VPN.
    • SonicWALL Mobile Connect : client VPN Dell unifié pour iOS.
    • Aruba VIA : client Aruba Networks Virtual Internet Access.
    • IKEv2 (iOS uniquement) : Internet Key Exchange version 2 pour iOS uniquement.
    • Citrix VPN : client Citrix VPN pour iOS.
    • SSL personnalisé : Secure Sockets Layer personnalisé. Ce type de connexion est requis pour le client Cisco AnyConnect disposant d’un bundle ID com.cisco.anyconnect. Réglez l’option Nom de la connexion sur Cisco AnyConnect. Vous pouvez également déployer la stratégie VPN et activer un filtre NAC (Network Access Control) pour les appareils iOS. Le filtre NAC bloque une connexion VPN pour les appareils sur lesquels des applications non conformes sont installées. La configuration nécessite des paramètres spécifiques pour la stratégie VPN d’iOS, comme décrit dans la section iOS ci-dessous. Pour plus d’informations sur les autres paramètres requis pour activer le filtre NAC, voir Contrôle d’accès réseau.

Les sections suivantes répertorient les options de configuration pour chacun des types de connexion précédents.

Configurer le protocole L2TP pour iOS

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Sélectionnez Authentification par mot de passe ou Authentification RSA SecureID.
  • Secret partagé : entrez la clé de secret partagé IPSec.
  • Envoyer tout le trafic : sélectionnez cette option pour envoyer tout le trafic via le VPN. La valeur par défaut est Désactivé.

Configurer le protocole PPTP pour iOS

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Sélectionnez Authentification par mot de passe ou Authentification RSA SecureID.
  • Niveau de chiffrement : dans la liste, cliquez sur un niveau de chiffrement. La valeur par défaut est Aucun.
    • Aucun : le chiffrement n’est pas utilisé.
    • Automatique : utiliser le niveau de chiffrement le plus élevé pris en charge par le serveur.
    • Maximum (128 bits) : toujours utiliser le cryptage 128 bits.
  • Envoyer tout le trafic : sélectionnez cette option pour envoyer tout le trafic via le VPN. La valeur par défaut est Désactivé.

Configurer le protocole IPSec pour iOS

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Type d’authentification pour la connexion : dans la liste, cliquez sur Secret partagé ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Secret partagé.
  • Si vous sélectionnez Secret partagé, configurez les paramètres suivants :
    • Nom du groupe : entrez un nom de groupe (facultatif).
    • Secret partagé : entrez une clé de secret partagé (facultatif).
    • Utiliser une authentification hybride : indiquez si vous souhaitez utiliser l’authentification hybride. Avec l’authentification hybride, le serveur s’authentifie auprès du client, puis le client s’authentifie auprès du serveur. La valeur par défaut est Désactivé.
    • Demander le mot de passe : indiquez si les utilisateurs doivent être invités à entrer leur mot de passe lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
  • Si vous avez sélectionné Certificat, configurez les paramètres suivants :
    • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
    • Exiger PIN à la connexion : sélectionnez cette option pour demander aux utilisateurs d’entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
    • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
  • Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Disponible uniquement sur iOS 9.0 et versions ultérieures.
  • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
  • Domaines safari : cliquez sur Ajouter pour ajouter un nom de domaine Safari.

Configurer le protocole Cisco Legacy AnyConnect pour iOS

Pour passer du client Cisco Legacy AnyConnect au nouveau client Cisco AnyConnect, utilisez le protocole SSL personnalisé.

  • Identificateur de bundle de fournisseur : pour le client Legacy AnyConnect, le bundle ID est com.cisco.anyconnect.gui.
  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Groupe : entrez un nom de groupe (facultatif).
  • Type d’authentification pour la connexion : dans la liste, cliquez sur Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
    • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
    • Si vous avez sélectionné Certificat, configurez les paramètres suivants :
      • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
      • Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
      • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
  • Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Disponible uniquement pour iOS 7.0 et versions ultérieures. Si vous activez cette option, configurez les paramètres suivants :
    • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
    • Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
      • Domaine : entrez le domaine à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.

Configurer le protocole SSL Juniper pour iOS

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Domaine : entrez un nom de domaine (facultatif).
  • Rôle : entrez un nom de rôle (facultatif).
  • Type d’authentification pour la connexion : dans la liste, cliquez sur Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
    • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
    • Si vous avez sélectionné Certificat, configurez les paramètres suivants :
      • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
      • Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
      • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
  • Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Disponible uniquement pour iOS 7.0 et versions ultérieures. Si vous activez cette option, configurez les paramètres suivants :
    • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
    • Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
      • Domaine : entrez le domaine à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.

Configurer le protocole F5 SSL pour iOS

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Type d’authentification pour la connexion : dans la liste, cliquez sur Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
    • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
    • Si vous avez sélectionné Certificat, configurez les paramètres suivants :
      • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
      • Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
      • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
  • Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Disponible uniquement pour iOS 7.0 et versions ultérieures. Si vous activez cette option, configurez les paramètres suivants :
    • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau.
    • Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
      • Domaine : entrez le domaine à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.

Configurer le protocole SonicWALL pour iOS

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Groupe ou domaine de connexion : entrez un groupe ou domaine de connexion (facultatif).
  • Type d’authentification pour la connexion : dans la liste, cliquez sur Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
    • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
    • Si vous avez sélectionné Certificat, configurez les paramètres suivants :
      • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
      • Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
      • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
  • Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Disponible uniquement pour iOS 7.0 et versions ultérieures. Si vous définissez cette option sur Activé, configurez les paramètres suivants :
    • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau.
    • Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
      • Domaine : entrez le domaine à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.

Configurer le protocole Ariba VIA pour iOS

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Type d’authentification pour la connexion : dans la liste, cliquez sur Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
    • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
    • Si vous avez sélectionné Certificat, configurez les paramètres suivants :
      • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
      • Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
      • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
  • Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Disponible uniquement pour iOS 7.0 et versions ultérieures. Si vous activez cette option, configurez les paramètres suivants :
    • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau.
    • Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
      • Domaine : entrez le domaine à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.

Configurer les protocoles IKEv2 pour iOS

Cette section contient les paramètres utilisés pour les protocoles IKEv2, AlwaysOn IKEv2 et Double configuration AlwaysOn IKEv2.

  • Autoriser l’utilisateur à désactiver la connexion automatique : pour les protocoles AlwaysOn. Indiquez si vous souhaitez permettre aux utilisateurs de désactiver la connexion automatique au réseau sur leurs appareils. La valeur par défaut est Désactivé.

  • Nom d’hôte ou adresse IP du serveur : entrez le nom ou l’adresse IP du serveur VPN.

  • Identifiant local : nom de domaine complet ou adresse IP du client IKEv2. Ce champ est obligatoire.

  • Identifiant distant : nom de domaine complet ou adresse IP du serveur VPN. Ce champ est obligatoire.

  • Authentification de machine : choisissez Secret partagé ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Secret partagé.

    • Si vous choisissez Secret partagé, entrez une clé de secret partagé (facultatif).

    • Si vous choisissez Certificat, choisissez les Infos d’identification de l’identité à utiliser. La valeur par défaut est Aucune.

  • Authentification étendue activée : indiquez si vous souhaitez activer le protocole d’authentification étendue (EAP). Si vous choisissez Activé, tapez le compte d’utilisateur et le mot de passe d’authentification. (iOS 8.0 et versions ultérieures)

  • Intervalle DPD : choisissez la fréquence à laquelle un appareil homologue est contacté pour vous assurer qu’il reste accessible. La valeur par défaut est Aucun. Les options sont : (iOS 8.0 et versions ultérieures)

    • Aucun : désactive DPD.

    • Faible : contacte l’homologue toutes les 30 minutes.

    • Moyen : contacte l’homologue toutes les 10 minutes.

    • Élevé : contacte l’homologue toutes les minutes.

  • Désactiver la mobilité et le multihoming : sélectionnez cette option pour désactiver cette fonctionnalité. (iOS 9.0 +)

  • Utilisez les attributs du sous-réseau interne IPv4/IPv6 : choisissez si vous souhaitez activer cette fonctionnalité. (iOS 9.0 +)

  • Désactiver les redirections : choisissez si vous souhaitez désactiver les redirections. (iOS 9.0 +)

  • Activer Keepalive NAT lorsque l’appareil est en veille : pour les protocoles AlwaysOn. Les paquets Keepalive maintiennent les mappages NAT pour les connexions IKEv2. La puce envoie ces paquets à intervalle régulier lorsque l’appareil est éveillé. Si ce paramètre est On, la puce envoie des paquets Keepalive même lorsque l’appareil est en veille. L’intervalle par défaut est de 20 secondes via Wi-Fi et de 110 secondes via réseau cellulaire. Vous pouvez modifier l’intervalle en utilisant le paramètre d’intervalle keepalive NAT. (iOS 9.0 +)

  • Intervalle Keepalive NAT (secondes) : la valeur par défaut est de 20 secondes. (iOS 9.0 +)

  • Activer PFS (Perfect Forward Secrecy) : choisissez si vous souhaitez activer cette fonctionnalité. (iOS 9.0 +)

  • Adresses IP des serveurs DNS : facultatif. Une liste des chaînes d’adresses IP du serveur DNS. Ces adresses IP peuvent inclure un mélange d’adresses IPv4 et IPv6. Cliquez sur Ajouter pour saisir une adresse.

  • Nom de domaine : facultatif. Domaine principal du tunnel. (iOS 10.0 +)

  • Domaines de recherche : facultatif. Liste de chaînes de domaines utilisés pour donner des noms d’hôte complets uniques.

  • Ajouter des domaines de correspondance supplémentaires à la liste de résolution : facultatif. Détermine si les domaines figurant dans la liste des domaines correspondants supplémentaires doivent être ajoutés à la liste des domaines de recherche pour la résolution. 0 signifie Ajouter ; 1 signifie Ne pas ajouter. La valeur par défaut est 0.

  • Domaines correspondant supplémentaires : facultatif. Liste des chaînes de domaines utilisés pour déterminer les requêtes DNS qui devront utiliser les paramètres de résolution DNS contenus dans les adresses de serveur DNS. Cette clé crée une configuration split DNS où uniquement les hôtes de certains domaines sont résolus à l’aide de la résolution DNS du tunnel. Les hôtes ne se trouvant pas dans l’un des domaines de cette liste sont résolus à l’aide de la résolution par défaut du système.

Si ce paramètre contient une chaîne vide, cette chaîne est utilisée en tant que domaine par défaut. Cette solution permet à une configuration de split-tunnel de diriger toutes les requêtes DNS vers les serveurs de VPN DNS avant les serveurs DNS principaux. Si le tunnel VPN devient l’itinéraire par défaut du réseau, les serveurs DNS répertoriés deviennent la résolution par défaut. Dans ce cas, la liste des domaines correspondants supplémentaires est ignorée.

  • Paramètres IKE SA et Paramètres SA enfants. Configurez ces paramètres pour chaque option d’association de sécurité (SA) :

    • Algorithme de chiffrement : dans la liste, cliquez sur l’algorithme de chiffrement IKE à utiliser. La valeur par défaut est 3DES.

    • Algorithme d’intégrité : dans la liste, cliquez sur l’algorithme d’intégrité à utiliser. La valeur par défaut est SHA1-96.

    • Groupe Diffie Hellman : dans la liste, cliquez sur le numéro du groupe Diffie Hellman. La valeur par défaut est 2.

    • Durée de vie en minutes : entrez un nombre entier compris entre 10 et 1440 représentant la durée de vie SA (rekey interval). La valeur par défaut est 1440 minutes.

  • Exceptions de service : pour les protocoles AlwaysOn. Les exceptions de service sont des services du système auxquels n’est pas appliquée l’option VPN toujours connecté. Configurez ces paramètres d’exceptions de service :

    • Messagerie vocale : dans la liste, cliquez sur la façon dont l’exception des messages vocaux est traitée. La valeur par défaut est Autoriser le trafic via le tunnel.

    • AirPrint : dans la liste, cliquez sur la façon dont l’exception AirPrint est traitée. La valeur par défaut est Autoriser le trafic via le tunnel.

    • Autoriser le trafic en provenance de websheets captifs en dehors du tunnel VPN : sélectionnez cette option pour autoriser les utilisateurs à se connecter à des points d’accès en dehors du tunnel VPN. La valeur par défaut est Désactivé.

    • Autoriser le trafic en provenance de toutes les applications de réseaux captifs en dehors du tunnel VPN : sélectionnez cette option pour autoriser toutes les applications de réseau de point d’accès en dehors du tunnel VPN. La valeur par défaut est Désactivé.

    • Bundle ID d’applications de réseaux captifs : pour chaque identificateur de bundle d’applications de réseau auquel les utilisateurs sont autorisés à accéder, cliquez sur Ajouter et entrez le bundle ID de réseau de point d’accès. Cliquez sur Enregistrer pour enregistrer le bundle ID d’application.

  • Per App VPN. Configurez ces paramètres pour les types de connexion IKEv2.

    • Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Disponible uniquement sur iOS 9.0 et versions ultérieures.
    • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
    • Domaines safari : cliquez sur Ajouter pour ajouter un nom de domaine Safari.
  • Configuration du proxy : choisissez la façon dont la connexion VPN transite via un serveur proxy. La valeur par défaut est Aucun.

Configurer le protocole Citrix VPN pour iOS

Le client Citrix VPN est disponible dans le portail Apple Store ici.

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Type d’authentification pour la connexion : dans la liste, cliquez sur Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
    • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
    • Si vous avez sélectionné Certificat, configurez les paramètres suivants :
      • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucune.
      • Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
      • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
  • Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Disponible uniquement pour iOS 7.0 et versions ultérieures. Si vous définissez cette option sur Activé, configurez les paramètres suivants :
    • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau.
    • Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
      • Domaine : entrez le domaine à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
  • XML personnalisé : pour chaque paramètre XML personnalisé que vous souhaitez ajouter, cliquez sur Ajouter et spécifiez les paires clé/valeur. Les paramètres disponibles sont les suivants :
    • disableL3 : désactive le VPN au niveau du système. Autorise uniquement le Per App VPN. Aucune valeur n’est requise.
    • useragent : associe à cette stratégie toute stratégie NetScaler qui cible les clients de plug-in VPN. La valeur de cette clé est automatiquement ajoutée au plug-in VPN pour les demandes initiées par le plug-in.

Configurer le protocole SSL personnalisé pour iOS

Pour passer du client Cisco Legacy AnyConnect au client Cisco AnyConnect :

  1. Configurez la stratégie VPN avec le protocole SSL personnalisé. Déployez la stratégie sur les appareils iOS.
  2. Chargez le client Cisco AnyConnect depuis https://itunes.apple.com/us/app/cisco-anyconnect/id1135064690?mt=8, ajoutez l’application à XenMobile et déployez l’application sur les appareils iOS.
  3. Supprimez l’ancienne stratégie VPN des appareils iOS.

Paramètres :

  • Identifiant SSL personnalisé (format DNS inverse) : définissez sur le bundle ID. Pour le client Cisco AnyConnect, utilisez com.cisco.anyconnect.
  • Identificateur de bundle de fournisseur : si l’application spécifiée dans Identifiant SSL personnalisé a plusieurs fournisseurs VPN du même type (Proxy d’application ou Tunnel de paquet), spécifiez cet identificateur de bundle. Pour le client Cisco AnyConnect, utilisez com.cisco.anyconnect.
  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Type d’authentification pour la connexion : dans la liste, cliquez sur Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
    • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
    • Si vous avez sélectionné Certificat, configurez les paramètres suivants :
      • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucune.
      • Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
      • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
  • Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Disponible uniquement pour iOS 7.0 et versions ultérieures. Si vous définissez cette option sur Activé, configurez les paramètres suivants :
    • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau.
    • Type de fournisseur : un type de fournisseur indique si le fournisseur est un service VPN ou un service de proxy. Pour le service VPN, choisissez Tunnel de paquet. Pour le service de proxy, choisissez Proxy d’application. Pour le client Cisco AnyConnect, choisissez Tunnel de paquet.
    • Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
      • Domaine : entrez le domaine à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
  • XML personnalisé : pour chaque paramètre XML personnalisé que vous souhaitez ajouter, cliquez sur Ajouter, puis procédez comme suit :
    • Nom du paramètre : entrez le nom du paramètre à ajouter.
    • Valeur : entrez la valeur associée au nom du paramètre.
    • Cliquez sur **Enregistrer **pour enregistrer le paramètre ou cliquez sur **Annuler **pour ne pas l’enregistrer.

Pour configurer la stratégie VPN pour prendre en charge NAC

  1. Le type de connexion SSL personnalisé est requis pour la configuration du filtre NAC.
  2. Spécifiez VPN comme nom de connexion.
  3. Pour Identifiant SSL personnalisé, tapez com.citrix.NetScalerGateway.ios.app
  4. Pour Identificateur de bundle de fournisseur, tapez com.citrix.NetScalerGateway.ios.app.vpnplugin

Les valeurs des étapes 3 et 4 proviennent de l’installation de Citrix SSO 1.0.1 requise pour le filtrage NAC. Notez que vous ne configurez pas de mot de passe d’authentification. Pour plus d’informations sur l’utilisation de la fonction NAC, voir Contrôle d’accès réseau.

Configurer les options de l’activation VPN sur demande pour iOS

  • Domaine sur demande : pour chaque domaine et action à exécuter lorsque les utilisateurs s’y connectent, cliquez sur Ajouter et procédez comme suit :
  • Domaine : entrez le domaine à ajouter.
  • Action : dans la liste, cliquez sur l’une des actions possibles :
    • Toujours établir : le domaine déclenche toujours une connexion VPN.
    • Ne jamais établir : le domaine ne déclenche jamais de connexion VPN.
    • Établir si nécessaire : le domaine déclenche une tentative de connexion VPN si la résolution de nom de domaine échoue ; par exemple, lorsque le serveur DNS ne peut pas résoudre le nom de domaine, redirige vers un serveur différent ou a expiré.
    • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
  • Règles On Demand
    • Action : dans la liste, cliquez sur l’action à exécuter. La valeur par défaut est EvaluateConnection. Les actions possibles sont les suivantes :
      • Autoriser : autoriser la connexion VPN sur demande.
      • Connecter : établir une connexion VPN sans condition.
      • Déconnecter : désactiver la connexion VPN et ne pas se reconnecter à la demande tant que la règle est active.
      • EvaluateConnection : évaluer la matrice ActionParameters pour chaque connexion.
      • Ignorer : conserver toute connexion VPN en cours mais ne pas se reconnecter à la demande tant que la règle est active.
    • DNSDomainMatch : pour chaque domaine avec lequel la liste de domaines de recherche d’un appareil peut correspondre, cliquez sur Ajouter et procédez comme suit :
      • Domaine DNS : entrez le nom du domaine. Vous pouvez utiliser le préfixe générique « \* » pour la correspondance avec multiples domaines. Par exemple,*.exemple.com peut correspondre à mondomaine.exemple.com, tondomaine.exemple.com et sondomaine.exemple.com.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
    • DNSServerAddressMatch : pour chaque adresse IP à laquelle n’importe quel des serveurs DNS spécifiés du réseau peut correspondre, cliquez sur Ajouter et procédez comme suit :
      • Adresse du serveur DNS : entrez l’adresse du serveur DNS que vous souhaitez ajouter. Vous pouvez utiliser le suffixe générique «\» pour la correspondance avec des serveurs DNS. Par exemple, 17. correspond à n’importe quel serveur DNS u sous-réseau de classe A.
      • Cliquez sur Enregistrer pour enregistrer l’adresse du serveur DNS ou cliquez sur Annuler pour ne pas l’enregistrer.
    • InterfaceTypeMatch : dans la liste, cliquez sur le type de matériel d’interface réseau principal utilisé. La valeur par défaut est Non spécifié. Valeurs possibles :
      • Non spécifié : correspondance avec n’importe quel matériel d’interface réseau. Il s’agit de l’option par défaut.
      • Ethernet : correspondance uniquement avec le matériel d’interface réseau Ethernet.
      • Wi-Fi : correspondance uniquement avec le matériel d’interface réseau Wi-Fi.
      • Cellulaire : correspondance uniquement avec le matériel d’interface réseau cellulaire.
    • SSIDMatch : pour chaque SSID à faire correspondre avec le réseau actuel, cliquez sur Ajouter et procédez comme suit.
      • SSID : entrez le SSID à ajouter. Si le réseau n’est pas un réseau WiFi, ou si le SSID ne s’affiche pas, la correspondance échoue. Laissez cette liste vide pour une correspondance avec n’importe quel SSID.
      • Cliquez sur Enregistrer pour enregistrer le SSID ou cliquez sur Annuler pour ne pas l’enregistrer.
    • URLStringProbe : entrez une adresse URL à récupérer. Si cette adresse URL est correctement récupérée sans redirection, cette règle correspond.
    • ActionParameters : Domains : pour chaque domaine que EvaluateConnection doit vérifier, cliquez sur Ajouter et procédez comme suit :
      • Domaine : entrez le domaine à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
    • ActionParameters : DomainAction : dans la liste, cliquez sur le comportement du VPN pour les domaines ActionParameters : Domains spécifiés. La valeur par défaut est ConnectIfNeeded. Les actions possibles sont les suivantes :
      • ConnectIfNeeded : le domaine déclenche une tentative de connexion VPN si la résolution de nom de domaine échoue ; par exemple, lorsque le serveur DNS ne peut pas résoudre le nom de domaine, redirige vers un serveur différent ou a expiré.
      • NeverConnect : le domaine ne déclenche jamais de connexion VPN.
    • Action Parameters: RequiredDNSServers : pour chaque adresse IP de serveur DNS à utiliser pour résoudre les domaines spécifiés, cliquez sur Ajouter et procédez comme suit :
      • Serveur DNS : valide uniquement si ActionParameters : DomainAction = ConnectIfNeeded. Tapez le serveur DNS à ajouter. Ce serveur n’a pas besoin de faire partie de la configuration réseau actuelle de l’appareil. Si le serveur DNS n’est pas accessible, une connexion VPN est établie en réponse. Ce serveur DNS doit être un serveur DNS interne ou un serveur DNS externe de confiance.
      • Cliquez sur Enregistrer pour enregistrer le serveur DNS ou cliquez sur Annuler pour ne pas l’enregistrer.
    • ActionParameters : RequiredURLStringProbe : si vous le souhaitez, entrez une adresse URL HTTP ou HTTPS (recommandé) à interroger, à l’aide d’un requête GET. Si le nom d’hôte de l’adresse URL ne peut pas être résolu, si le serveur est inaccessible ou si le serveur n’a pas répondu avec un code d’état HTTP 200, une connexion VPN est établie en réponse. Valide uniquement si ActionParameters : DomainAction = ConnectIfNeeded.
    • OnDemandRules : XML content : entrez, ou copiez et collez, les règles on demand de la configuration XML.
      • Cliquez sur Vérifier dict. pour valider le code XML. La mention « XML valide » s’affiche en vert sous la zone de texte du contenu XML si le code XML est valide ; sinon, un message d’erreur décrivant l’erreur s’affiche en orange.
  • Proxy
    • Configuration du proxy : dans la liste, cliquez sur la façon dont la connexion VPN transite via un serveur proxy. La valeur par défaut est Aucun.
      • Si vous avez sélectionné Manuel, configurez les paramètres suivants :
        • Nom d’hôte ou adresse IP du serveur proxy : entrez le nom d’hôte ou l’adresse IP du serveur proxy. Ce champ est obligatoire.
        • Port du serveur proxy : entrez le numéro de port du serveur proxy. Ce champ est obligatoire.
        • Nom d’utilisateur : entrez un nom d’utilisateur pour le serveur proxy (facultatif).
        • Mot de passe : entrez un mot de passe pour le serveur proxy (facultatif).
      • Si vous configurez Automatique, configurez ce paramètre :
        • URL du serveur proxy : entrez l’adresse URL du serveur proxy. Ce champ est obligatoire.
  • Paramètres de stratégie
    • Sous Paramètres de stratégie, à côté de Supprimer la stratégie, cliquez sur Sélectionner une date ou Délai avant suppression (en heures).
    • Si vous cliquez sur Sélectionner une date, cliquez sur le calendrier pour sélectionner la date spécifique de la suppression.
    • Dans la liste Autoriser l’utilisateur à supprimer la stratégie, cliquez sur Toujours, Mot de passe requis ou Jamais.
    • Si vous cliquez sur Mot de passe requis, à côté de Code secret de suppression, entrez le mot de passe requis.

Configurer un Per App VPN

Des options Per App VPN pour iOS sont disponibles pour ces types de connexion : Cisco AnyConnect, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Aruba VIA, Citrix VPN et SSL personnalisé.

Pour configurer un Per App VPN :

  1. Dans Configurer > Stratégies d’appareil, créez une stratégie VPN. Par exemple :

    Image de l'écran de configuration Stratégies d'appareil

    Image de l'écran de configuration Stratégies d'appareil

    Une stratégie Per App VPN pour Secure Hub requiert la configuration suivante :

    • Nom de la connexion : définissez sur XenMobile. XenMobile utilise le nom de connexion comme description localisée du fournisseur VPN. Secure Hub utilise la description localisée de VPN pour distinguer le fournisseur de l’appareil du fournisseur Per App.

    • Type de connexion : définissez sur SSL personnalisé.

    • Identifiant SSL personnalisé : définissez sur le bundle ID de Secure Hub.

    • Identificateur de bundle de fournisseur : définissez sur le bundle ID de l’extension de réseau de Secure Hub. Ce bundle ID est l’identificateur de bundle Secure Hub, spécifié dans Identifiant SSL personnalisé, avec ajout de .NE.

    • Type de fournisseur : définissez sur Tunnel de paquet.

  2. Dans Configurer > Stratégies d’appareil, créez une stratégie d’attributs d’application pour associer une application à la stratégie Per App VPN. Pour Identifiant Per App VPN, choisissez le nom de la stratégie VPN créée à l’étape 1. Pour Bundle ID d’application gérée, choisissez dans la liste d’applications ou entrez le bundle ID d’application. (Si vous déployez une stratégie d’inventaire des applications iOS, la liste des applications contient des applications).

    Image de l'écran de configuration Stratégies d'appareil

Paramètres macOS

Image de l'écran de configuration Stratégies d'appareil

  • Nom de la connexion : entrez un nom pour la connexion.
  • Type de connexion : dans la liste, cliquez sur le protocole à utiliser pour cette connexion : La valeur par défaut est L2TP.
    • L2TP : Layer 2 Tunneling Protocol avec authentification par clé pré-partagée.
    • PPTP : protocole PPTP.
    • IPSec : votre connexion VPN d’entreprise.
    • Cisco AnyConnect : client Cisco AnyConnect VPN.
    • Juniper SSL : client Juniper Networks SSL VPN.
    • F5 SSL : client F5 Networks SSL VPN.
    • SonicWALL Mobile Connect : client VPN Dell unifié pour iOS.
    • Aruba VIA : client Aruba Networks Virtual Internet Access.
    • Citrix VPN : client Citrix VPN.
    • SSL personnalisé : Secure Sockets Layer personnalisé.

Les sections suivantes répertorient les options de configuration pour chacun des types de connexion précédents.

Configurer le protocole L2TP pour macOS

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Sélectionnez Authentification par mot de passe, Authentification RSA SecureID, Authentification Kerberos ou Authentification CryptoCard. La valeur par défaut est Authentification par mot de passe.
  • Secret partagé : entrez la clé de secret partagé IPSec.
  • Envoyer tout le trafic : sélectionnez cette option pour envoyer tout le trafic via le VPN. La valeur par défaut est Désactivé.

Configurer le protocole PPTP pour macOS

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Sélectionnez Authentification par mot de passe, Authentification RSA SecureID, Authentification Kerberos ou Authentification CryptoCard. La valeur par défaut est Authentification par mot de passe.
  • Niveau de chiffrement : sélectionnez le niveau de chiffrement souhaité. La valeur par défaut est Aucun.
    • Aucun : le chiffrement n’est pas utilisé.
    • Automatique : utiliser le niveau de chiffrement le plus élevé pris en charge par le serveur.
    • Maximum (128 bits) : toujours utiliser le cryptage 128 bits.
  • Envoyer tout le trafic : sélectionnez cette option pour envoyer tout le trafic via le VPN. La valeur par défaut est Désactivé.

Configurer le protocole IPSec pour macOS

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Type d’authentification pour la connexion : dans la liste, cliquez sur Secret partagé ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Secret partagé.
    • Si vous sélectionnez l’authentification Secret partagé, configurez les paramètres suivants :
      • Nom du groupe : entrez un nom de groupe (facultatif).
      • Secret partagé : entrez une clé de secret partagé (facultatif).
      • Utiliser une authentification hybride : indiquez si vous souhaitez utiliser l’authentification hybride. Avec l’authentification hybride, le serveur s’authentifie auprès du client, puis le client s’authentifie auprès du serveur. La valeur par défaut est Désactivé.
      • Demander le mot de passe : indiquez si les utilisateurs doivent être invités à entrer leur mot de passe lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
    • Si vous avez sélectionné l’authentification Certificat, configurez les paramètres suivants :
      • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
      • Exiger PIN à la connexion : sélectionnez cette option pour demander aux utilisateurs d’entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
      • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande.

Configurer le protocole Cisco AnyConnect pour macOS

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Groupe : entrez un nom de groupe (facultatif).
  • Type d’authentification pour la connexion : dans la liste, cliquez sur Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
    • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
    • Si vous avez sélectionné Certificat, configurez les paramètres suivants :
      • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
      • Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
      • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande.
    • Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
      • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
      • Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
        • Domaine : entrez le domaine à ajouter.
        • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.

Configurer le protocole SSL Juniper pour macOS

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Domaine : entrez un nom de domaine (facultatif).
  • Rôle : entrez un nom de rôle (facultatif).
  • Type d’authentification pour la connexion : dans la liste, cliquez sur Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
    • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
    • Si vous avez sélectionné Certificat, configurez les paramètres suivants :
      • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
      • Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
      • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande.
  • Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
    • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
    • Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
      • Domaine : entrez le domaine à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.

Configurer le protocole F5 SSL pour macOS

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Type d’authentification pour la connexion : dans la liste, cliquez sur Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
    • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
    • Si vous avez sélectionné Certificat, configurez les paramètres suivants :
      • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
      • Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
      • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande.
  • Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
    • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
    • Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
      • Domaine : entrez le domaine à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.

Configurer le protocole SonicWALL pour macOS

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Groupe ou domaine de connexion : entrez un groupe ou domaine de connexion (facultatif).
  • Type d’authentification pour la connexion : dans la liste, cliquez sur Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
    • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
    • Si vous avez sélectionné Certificat, configurez les paramètres suivants :
      • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
      • Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
      • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande.
  • Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
    • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
    • Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
      • Domaine : entrez le domaine à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.

Configurer le protocole Ariba VIA pour macOS

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Type d’authentification pour la connexion : dans la liste, cliquez sur Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
    • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
    • Si vous avez sélectionné Certificat, configurez les paramètres suivants :
      • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
      • Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
      • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande.
  • Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
    • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
    • Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
      • Domaine : entrez le domaine à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.

Configurer le protocole Citrix VPN pour macOS

Le client Citrix VPN est disponible dans le portail Apple Store ici.

  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
  • Type d’authentification pour la connexion : dans la liste, cliquez sur Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
    • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
    • Si vous avez sélectionné Certificat, configurez les paramètres suivants :
      • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucune.
      • Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
      • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande.
  • Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Disponible uniquement pour iOS 7.0 et versions ultérieures. Si vous activez cette option, configurez les paramètres suivants :
    • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau.
    • Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
      • Domaine : entrez le domaine à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
  • XML personnalisé : pour chaque paramètre XML personnalisé que vous souhaitez ajouter, cliquez sur Ajouter et spécifiez les paires clé/valeur. Les paramètres disponibles sont les suivants :
    • disableL3 : désactive le VPN au niveau du système. Autorise uniquement le Per App VPN. Aucune valeur n’est requise.
    • useragent : associe à cette stratégie toute stratégie NetScaler qui cible les clients de plug-in VPN. La valeur de cette clé est automatiquement ajoutée au plug-in VPN pour les demandes initiées par le plug-in.

Configurer le protocole SSL personnalisé pour macOS

  • Identifiant SSL personnalisé (format DNS inverse) : entrez l’identifiant SSL au format DNS inverse. Ce champ est obligatoire.
  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN. Ce champ est obligatoire.
  • Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
    • Type d’authentification pour la connexion : dans la liste, cliquez sur Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
    • Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
    • Si vous avez sélectionné Certificat, configurez les paramètres suivants :
      • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucune.
      • Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
      • Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande.
    • Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
      • Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau.
      • Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
        • Domaine : entrez le domaine à ajouter.
        • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
  • XML personnalisé : pour chaque paramètre XML personnalisé que vous souhaitez ajouter, cliquez sur Ajouter, puis procédez comme suit :
    • Nom du paramètre : entrez le nom du paramètre à ajouter.
    • Valeur : entrez la valeur associée au nom du paramètre.
    • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.

Configurer les options de l’activation VPN sur demande

  • Domaine sur demande : pour chaque domaine et action à exécuter lorsque les utilisateurs s’y connectent, cliquez sur Ajouter et procédez comme suit :
    • Domaine : entrez le domaine à ajouter.
    • Action : dans la liste, cliquez sur l’une des actions possibles :
      • Toujours établir : le domaine déclenche toujours une connexion VPN.
      • Ne jamais établir : le domaine ne déclenche jamais de connexion VPN.
      • Établir si nécessaire : le domaine déclenche une tentative de connexion VPN si la résolution de nom de domaine échoue ; par exemple, lorsque le serveur DNS ne peut pas résoudre le nom de domaine, redirige vers un serveur différent ou a expiré.
    • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
  • Règles On Demand
    • Action : dans la liste, cliquez sur l’action à exécuter. La valeur par défaut est EvaluateConnection. Les actions possibles sont les suivantes :
      • Autoriser : autoriser la connexion VPN sur demande.
      • Connecter : établir une connexion VPN sans condition.
      • Déconnecter : désactiver la connexion VPN et ne pas se reconnecter à la demande tant que la règle est active.
      • EvaluateConnection : évaluer la matrice ActionParameters pour chaque connexion.
      • Ignorer : conserver toute connexion VPN en cours mais ne pas se reconnecter à la demande tant que la règle est active.
    • DNSDomainMatch : pour chaque domaine avec lequel la liste de domaines de recherche d’un appareil peut correspondre, cliquez sur Ajouter et procédez comme suit :
      • Domaine DNS : entrez le nom du domaine. Vous pouvez utiliser le préfixe générique « \* » pour la correspondance avec multiples domaines. Par exemple,*.exemple.com peut correspondre à mondomaine.exemple.com, tondomaine.exemple.com et sondomaine.exemple.com.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
    • DNSServerAddressMatch : pour chaque adresse IP à laquelle n’importe quel des serveurs DNS spécifiés du réseau peut correspondre, cliquez sur Ajouter et procédez comme suit :
      • Adresse du serveur DNS : entrez l’adresse du serveur DNS que vous souhaitez ajouter. Vous pouvez utiliser le suffixe générique «\» pour la correspondance avec des serveurs DNS. Par exemple, 17. correspond à n’importe quel serveur DNS u sous-réseau de classe A.
      • Cliquez sur Enregistrer pour enregistrer l’adresse du serveur DNS ou cliquez sur Annuler pour ne pas l’enregistrer.
    • InterfaceTypeMatch : dans la liste, cliquez sur le type de matériel d’interface réseau principal utilisé. La valeur par défaut est Non spécifié. Valeurs possibles :
      • Non spécifié : correspondance avec n’importe quel matériel d’interface réseau. Il s’agit de l’option par défaut.
      • Ethernet : correspondance uniquement avec le matériel d’interface réseau Ethernet.
      • Wi-Fi : correspondance uniquement avec le matériel d’interface réseau Wi-Fi.
      • Cellulaire : correspondance uniquement avec le matériel d’interface réseau cellulaire.
    • SSIDMatch : pour chaque SSID à faire correspondre avec le réseau actuel, cliquez sur Ajouter et procédez comme suit.
      • SSID : entrez le SSID à ajouter. Si le réseau n’est pas un réseau WiFi, ou si le SSID ne s’affiche pas, la correspondance échoue. Laissez cette liste vide pour une correspondance avec n’importe quel SSID.
      • Cliquez sur Enregistrer pour enregistrer le SSID ou cliquez sur Annuler pour ne pas l’enregistrer.
    • URLStringProbe : entrez une adresse URL à récupérer. Si cette adresse URL est correctement récupérée sans redirection, cette règle correspond.
    • ActionParameters : Domains : pour chaque domaine que EvaluateConnection doit vérifier, cliquez sur Ajouter et procédez comme suit :
      • Domaine : entrez le domaine à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
    • ActionParameters : DomainAction : dans la liste, cliquez sur le comportement du VPN pour les domaines ActionParameters : Domains spécifiés. La valeur par défaut est ConnectIfNeeded. Les actions possibles sont les suivantes :
      • ConnectIfNeeded : le domaine déclenche une tentative de connexion VPN si la résolution de nom de domaine échoue ; par exemple, lorsque le serveur DNS ne peut pas résoudre le nom de domaine, redirige vers un serveur différent ou a expiré.
      • NeverConnect : le domaine ne déclenche jamais de connexion VPN.
    • Action Parameters: RequiredDNSServers : pour chaque adresse IP de serveur DNS à utiliser pour résoudre les domaines spécifiés, cliquez sur Ajouter et procédez comme suit :
      • Serveur DNS : valide uniquement si ActionParameters : DomainAction = ConnectIfNeeded. Tapez le serveur DNS à ajouter. Ce serveur n’a pas besoin de faire partie de la configuration réseau actuelle de l’appareil. Si le serveur DNS n’est pas accessible, une connexion VPN est établie en réponse. Ce serveur DNS doit être un serveur DNS interne ou un serveur DNS externe de confiance.
      • Cliquez sur Enregistrer pour enregistrer le serveur DNS ou cliquez sur Annuler pour ne pas l’enregistrer.
    • ActionParameters : RequiredURLStringProbe : si vous le souhaitez, entrez une adresse URL HTTP ou HTTPS (recommandé) à interroger, à l’aide d’un requête GET. Si le nom d’hôte de l’adresse URL ne peut pas être résolu, si le serveur est inaccessible ou si le serveur n’a pas répondu avec un code d’état HTTP 200, une connexion VPN est établie en réponse. Valide uniquement si ActionParameters : DomainAction = ConnectIfNeeded.
    • OnDemandRules : XML content : entrez, ou copiez et collez, les règles on demand de la configuration XML.
      • Cliquez sur Vérifier dict. pour valider le code XML. La mention « XML valide » s’affiche en vert sous la zone de texte du contenu XML si le code XML est valide ; sinon, un message d’erreur décrivant l’erreur s’affiche en orange.
  • Proxy
    • Configuration du proxy : dans la liste, cliquez sur la façon dont la connexion VPN transite via un serveur proxy. La valeur par défaut est Aucun.
      • Si vous avez sélectionné Manuel, configurez les paramètres suivants :
        • Nom d’hôte ou adresse IP du serveur proxy : entrez le nom d’hôte ou l’adresse IP du serveur proxy. Ce champ est obligatoire.
        • Port du serveur proxy : entrez le numéro de port du serveur proxy. Ce champ est obligatoire.
        • Nom d’utilisateur : entrez un nom d’utilisateur pour le serveur proxy (facultatif).
        • Mot de passe : entrez un mot de passe pour le serveur proxy (facultatif).
      • Si vous configurez Automatique, configurez ce paramètre :
        • URL du serveur proxy : entrez l’adresse URL du serveur proxy. Ce champ est obligatoire.

Paramètres Android

Image de l'écran de configuration Stratégies d'appareil

Configurer le protocole Citrix VPN pour Android

  • Nom de la connexion : entrez un nom pour la connexion VPN. Ce champ est obligatoire.

  • Nom du serveur ou adresse IP : entrez le nom de domaine complet ou l’adresse IP du NetScaler Gateway.

  • Type d’authentification pour la connexion : choisissez un type d’authentification et renseignez les champs qui s’affichent pour le type :

    • Nom d’utilisateur et Mot de passe : saisissez vos informations d’identification VPN pour les Types d’authentification, Mot de passe ou Mot de passe et certificat. Facultatif. Si vous ne fournissez les informations d’identification VPN, l’application Citrix VPN vous invite à entrer un nom d’utilisateur et un mot de passe.

    • Infos d’identification de l’identité : s’affiche pour les Types d’authentification Certificat ou Mot de passe et certificat.

  • Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. Si vous n’activez pas le per app VPN, tout le trafic transite via le tunnel VPN de Citrix. Si vous activez le per app VPN, spécifiez les paramètres suivants. La valeur par défaut est Désactivé.

    • Liste blanche ou Liste noire : choisissez un paramètre. Avec Liste blanche, toutes les applications de la liste blanche transitent via ce VPN. Avec Liste noire, toutes les applications sauf celles figurant sur la liste noire transitent via ce VPN.

    • Liste d’applications : spécifiez les applications sur liste blanche ou sur liste noire. Cliquez sur Ajouter et tapez une liste de noms de paquetages d’applications séparés par des virgules.

  • XML personnalisé : cliquez sur Ajouter, puis entrez les paramètres personnalisés. XenMobile prend en charge ces paramètres pour Citrix VPN :

    • disableL3Mode : facultatif. Pour activer ce paramètre, entrez Yes pour Value. Si ce paramètre est activé, XenMobile n’affiche aucune connexion VPN ajoutée par l’utilisateur et l’utilisateur ne peut pas ajouter de connexion. Il s’agit d’une restriction globale et s’applique à tous les profils VPN.

    • userAgent : valeur de chaîne. Vous pouvez spécifier une chaîne d’agent utilisateur personnalisée à envoyer dans chaque requête HTTP. La chaîne d’agent utilisateur spécifiée est ajoutée à l’agent utilisateur Citrix VPN existant.

Configurer le protocole Cisco AnyConnect VPN pour Android

  • Nom de la connexion : entrez un nom pour la connexion au VPN Cisco AnyConnect. Ce champ est obligatoire.
  • Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN. Ce champ est obligatoire.
  • Serveur VPN de sauvegarde : entrez les informations du serveur VPN de sauvegarde.
  • Groupe d’utilisateurs : entrez les informations relatives au groupe d’utilisateurs.
  • Infos d’identification de l’identité : dans la liste, sélectionnez des Informations d’identification de l’identité.
  • Réseaux fiables
    • Stratégie de VPN automatique : activez ou désactivez cette option pour définir la façon dont le VPN réagit aux réseaux approuvés et non approuvés. Si cette option est activée, configurez les paramètres suivants :
      • Stratégie pour réseau fiable : dans la liste, cliquez sur la stratégie souhaitée. La valeur par défaut est Déconnecter. Les options possibles sont les suivantes :
        • Déconnecter : le client met fin à la connexion VPN dans le réseau approuvé. Il s’agit de l’option par défaut.
        • Connecter : le client initie une connexion VPN dans le réseau approuvé.
        • Ne rien faire : le client n’exécute aucune action.
        • Mettre en pause : met la session VPN en pause (plutôt que de la déconnecter) lorsqu’un utilisateur accède à un réseau configuré comme approuvé après avoir établi une session VPN à l’extérieur du réseau approuvé. Lorsque l’utilisateur quitte le réseau approuvé, la session reprend. Cela élimine le besoin de créer une nouvelle session VPN après avoir quitté un réseau approuvé.
      • Stratégie pour réseau non fiable : dans la liste, cliquez sur la stratégie souhaitée. La valeur par défaut est Connecter. Les options possibles sont les suivantes :
        • Connecter : le client initie une connexion VPN dans le réseau non approuvé.
        • Ne rien faire : le client démarre une connexion VPN dans le réseau non approuvé. Cette option désactive le VPN permanent.
    • Domaines approuvés : pour chaque suffixe de domaine que l’interface réseau peut avoir lorsque le client est dans le réseau approuvé, cliquez sur Ajouter et procédez comme suit :
      • Domaine : entrez le domaine à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
    • Serveurs approuvés : pour chaque adresse de serveur que l’interface réseau peut avoir lorsque le client est dans le réseau approuvé, cliquez sur Ajouter et procédez comme suit :
      • Serveurs : entrez le serveur à ajouter.
      • Cliquez sur Enregistrer pour enregistrer le serveur ou cliquez sur Annuler pour ne pas l’enregistrer.

Paramètres Samsung SAFE

Image de l'écran de configuration Stratégies d'appareil

  • Nom de la connexion : entrez un nom pour la connexion.
  • Type de VPN : dans la liste, cliquez sur le protocole à utiliser pour cette connexion. La valeur par défaut est L2TP avec clé prépartagée. Les options possibles sont les suivantes :
    • L2TP avec clé prépartagée : Layer 2 Tunneling Protocol (L2TP) avec authentification par clé prépartagée. C’est le réglage par défaut.
    • L2TP avec certificat : Layer 2 Tunneling Protocol avec certificat.
    • PPTP : protocole PPTP.
    • Entreprise : votre connexion VPN d’entreprise. Applicable aux versions SAFE antérieures à 2.0.
    • Générique : connexion VPN générique. Applicable aux versions SAFE 2.0 ou ultérieures.

Configurer le protocole L2TP avec clé prépartagée pour Samsung SAFE

  • Nom d’hôte : entrez le nom de l’hôte VPN. Cette option est requise.
  • Nom d’utilisateur : entrez un nom d’utilisateur (facultatif).
  • Mot de passe : entrez un mot de passe (facultatif).
  • Clé prépartagée : entrez la clé prépartagée Cette option est requise.

Configurer L2TP avec le protocole de certificat pour Samsung SAFE

  • Nom d’hôte : entrez le nom de l’hôte VPN. Cette option est requise.
  • Nom d’utilisateur : entrez un nom d’utilisateur (facultatif).
  • Mot de passe : entrez un mot de passe (facultatif).
  • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.

Configurer le protocole PPTP pour Samsung SAFE

  • Nom d’hôte : entrez le nom de l’hôte VPN. Cette option est requise.
  • Nom d’utilisateur : entrez un nom d’utilisateur (facultatif).
  • Mot de passe : entrez un mot de passe (facultatif).
  • Activer le chiffrement : sélectionnez cette option si vous souhaitez activer le cryptage sur la connexion VPN.

Configurer le protocole Enterprise pour Samsung SAFE

  • Nom d’hôte : entrez le nom de l’hôte VPN. Cette option est requise.
  • Activer le serveur de sauvegarde : sélectionnez cette option pour activer un serveur VPN de sauvegarde. Si cette option est activée, dans Serveur VPN de sauvegarde, entrez le nom de domaine complet ou l’adresse IP du serveur VPN de sauvegarde.
  • Activer l’authentification utilisateur : indiquez si l’authentification de l’utilisateur est exigée. Si cette option est activée, vous pouvez configurer les paramètres suivants :
    • Nom d’utilisateur : entrez un nom d’utilisateur.
    • Mot de passe : entrez le mot de passe de l’utilisateur.
  • Nom du groupe : entrez un nom de groupe (facultatif).
  • Méthode d’authentification : dans la liste, cliquez sur la méthode d’authentification à utiliser. Les options possibles sont les suivantes :
    • Certificat : utiliser l’authentification par certificat. Il s’agit de l’option par défaut. Si cette option est sélectionnée, dans la liste des informations d’identification de l’identité, cliquez sur les informations d’identification à utiliser. La valeur par défaut est Aucun.
    • Clé prépartagée : utiliser une clé prépartagée Si cette option est sélectionnée, dans le champ Clé prépartagée, entrez la clé du secret partagé.
    • RSA Hybride : utiliser l’authentification hybride utilisant des certificats RSA
    • EAP MD5 : authentifier l’homologue EAP auprès du serveur EAP, mais pas d’authentification mutuelle.
    • EAP MSCHAPv2 : utiliser l’authentification challenge-handshake de Microsoft pour l’authentification mutuelle.
  • Certificat CA : dans la liste, cliquez sur le certificat à utiliser. La valeur par défaut est Aucun.
  • Activer l’itinéraire par défaut : sélectionnez cette option pour activer un itinéraire par défaut vers le serveur VPN. La valeur par défaut est Désactivé.
  • Activer l’authentification par carte à puce : sélectionnez cette option pour autoriser les utilisateurs à s’authentifier à l’aide de cartes à puce. La valeur par défaut est Désactivé.
  • Activer l’option mobile : sélectionnez cette option si vous souhaitez activer l’option mobile. La valeur par défaut est Désactivé.
  • Valeur du groupe Diffie-Hellman (puissance de clé) : dans la liste, cliquez sur la puissance de clé à utiliser. La valeur par défaut est 0.
  • Type de tunnel de séparation : dans la liste, cliquez sur le type de tunnel de séparation. La valeur par défaut est Auto. Les options possibles sont les suivantes :
    • Auto : le tunnel de séparation est automatiquement utilisé.
    • Manuel : le tunnel de séparation est utilisé sur l’adresse IP et le port spécifié sur le serveur VPN.
    • Désactivé : le tunnel de séparation n’est pas utilisé.
  • Type SuiteB : dans la liste, cliquez sur le niveau de chiffrement NSA Suite B à utiliser. La valeur par défaut est GCM-128. Les options possibles sont les suivantes :
    • GCM-128 : utiliser le chiffrement AES-GCM 128 bits.
    • GMAC-128 : utiliser le chiffrement AES-GMAC 128 bits.
    • GMAC-256 : utiliser le chiffrement AES-GMAC 256 bits.
    • Aucun : le chiffrement n’est pas utilisé.
  • Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
    • Route de transfert : entrez l’adresse IP de la route de transfert.
    • Cliquez sur Enregistrerpour enregistrer la route ou cliquez sur Annulerpour ne pas l’enregistrer.

Configurer le protocole générique pour Samsung SAFE

  • Nom d’hôte : entrez le nom de l’hôte VPN. Cette option est requise.
  • Activer l’authentification utilisateur : indiquez si l’authentification de l’utilisateur est exigée. Si cette option est activée, dans le champ Mot de passe, entrez le mot de passe utilisateur.
  • Nom d’utilisateur : entrez un nom d’utilisateur.
  • Nom de paquetage de l’agent VPN : nom du paquetage ou ID du VPN installé sur l’appareil ; par exemple, Mocana ou Pulse Secure.
  • Type de connexion VPN : dans la liste, cliquez sur IPSEC ou SSL pour le type de connexion à utiliser. La valeur par défaut est IPSEC. Les sections suivantes décrivent les paramètres de configuration pour chaque type de connexion.

Configurer les paramètres de type de connexion IPSEC pour Samsung SAFE

  • Identité : entrez un identifiant (facultatif) pour cette configuration.
  • Type d’ID de groupe IPsec : dans la liste, cliquez sur le type d’ID de groupe IPsec à utiliser. La valeur par défaut est Valeur par défaut. Les options possibles sont les suivantes :
    • Mode par défaut
    • Adresse IPv4
    • Nom de domaine complet (FQDN)
    • Utilisateur FQDN
    • ID clé IKE
  • Version IKE : dans la liste, cliquez sur la version IKE à utiliser. Le paramètre par défaut est IKEv1
  • Méthode d’authentification : dans la liste, cliquez sur la méthode d’authentification à utiliser. La valeur par défaut est Certificat. Les options possibles sont les suivantes :
    • Certificat : utiliser l’authentification par certificat. Si cette option est sélectionnée, dans la liste Infos d’identification de l’identité, cliquez sur les informations d’identification à utiliser. La valeur par défaut est Aucun.
    • Clé prépartagée : utiliser une clé prépartagée Si cette option est sélectionnée, dans le champ Clé prépartagée, entrez la clé du secret partagé.
    • RSA Hybride : utiliser l’authentification hybride utilisant des certificats RSA
    • EAP MD5 : authentifier l’homologue EAP auprès du serveur EAP, mais pas d’authentification mutuelle.
    • EAP MSCHAPv2 : utiliser l’authentification challenge-handshake de Microsoft pour l’authentification mutuelle.
    • Authentification par carte d’accès commune : utiliser un accès CAC (Common Access Card) pour l’authentification.
  • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
  • Certificat CA : dans la liste, cliquez sur le certificat à utiliser.
  • Activer la détection de perte des connexions : indiquez s’il est nécessaire de contacter un homologue pour s’assurer qu’il reste actif. La valeur par défaut est Désactivé.
  • Activer l’itinéraire par défaut : sélectionnez cette option pour activer un itinéraire par défaut vers le serveur VPN.
  • Activer l’option mobile : sélectionnez cette option si vous souhaitez activer l’option mobile.
  • Durée de vie d’IKE en minutes : entrez le nombre de minutes avant que la connexion VPN soit rétablie. Le paramètre par défaut est de 1440 minutes (24 heures).
  • Valeur du groupe Diffie-Hellman (puissance de clé) : dans la liste, cliquez sur la puissance de clé à utiliser. La valeur par défaut est 0.
  • Mode d’échange de clés IKE Phase 1 : sélectionnez Principal ou Agressif pour le mode de négociation IKE Phase 1. La valeur par défaut est Principal.
    • Principal : aucune information n’est exposée aux agresseurs potentiels, mais ce mode est plus lent que le mode Agressif.
    • Agressif : certaines informations (par exemple, l’identité des homologues de négociation) sont exposées aux agresseurs lors de la négociation, mais ce mode est plus rapide que le mode Principal.
  • Perfect forward secrecy (PFS) : sélectionnez cette option si vous souhaitez utiliser PFS pour exiger un nouvel échange de clés pour la renégociation d’une connexion.
  • Type de tunnel de séparation : dans la liste, cliquez sur le type de tunnel de séparation. Les options possibles sont les suivantes :
    • Auto : le tunnel de séparation est automatiquement utilisé.
    • Manuel : le tunnel de séparation est utilisé sur l’adresse IP et le port spécifié sur le serveur VPN.
    • Désactivé : le tunnel de séparation n’est pas utilisé.
  • Algorithme de chiffrement IPSEC : configuration VPN utilisée par le protocole IPSec.
  • Algorithme de chiffrement IKE : configuration VPN utilisée par le protocole IPSec.
  • Algorithme d’intégrité IKE : configuration VPN utilisée par le protocole IPSec.
  • Constructeur : profil personnel pour les agents génériques qui communiquent avec l’API KNOX.
  • Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
    • Route de transfert : entrez l’adresse IP de la route de transfert.
    • Cliquez sur Enregistrerpour enregistrer la route ou cliquez sur Annulerpour ne pas l’enregistrer.
  • VPN par application : pour chaque connexion Per App VPN à ajouter, sélectionnez Ajouter et procédez comme suit :
    • VPN par application : configuration VPN que l’application utilise pour communiquer.
    • Cliquez sur Enregistrer pour enregistrer le Per App VPN ou cliquez sur Annuler pour ne pas l’enregistrer.

Configurer les paramètres de type de connexion SSL pour Samsung SAFE

  • Méthode d’authentification : dans la liste, cliquez sur la méthode d’authentification à utiliser. La valeur par défaut est Non applicable. Les options possibles sont les suivantes :
    • Sans objet
    • Certificat : utiliser l’authentification par certificat. Si cette option est sélectionnée, dans la liste Infos d’identification de l’identité, cliquez sur les informations d’identification à utiliser. La valeur par défaut est Aucun.
    • Authentification par carte d’accès commune : utiliser un accès CAC (Common Access Card) pour l’authentification.
  • Certificat CA : dans la liste, cliquez sur le certificat à utiliser.
  • Activer l’itinéraire par défaut : sélectionnez cette option pour activer un itinéraire par défaut vers le serveur VPN.
  • Activer l’option mobile : sélectionnez cette option si vous souhaitez activer l’option mobile.
  • Type de tunnel de séparation : dans la liste, cliquez sur le type de tunnel de séparation. Les options possibles sont les suivantes :
    • Auto : le tunnel de séparation est automatiquement utilisé.
    • Manuel : le tunnel de séparation est utilisé sur l’adresse IP et le port spécifié sur le serveur VPN.
    • Désactivé : le tunnel de séparation n’est pas utilisé.
  • Algorithme SSL : entrez l’algorithme SSL à utiliser pour la négociation client-serveur.
  • Constructeur : profil personnel pour les agents génériques qui communiquent avec l’API KNOX.
  • Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
    • Route de transfert : entrez l’adresse IP de la route de transfert.
    • Cliquez sur Enregistrerpour enregistrer la route ou cliquez sur Annulerpour ne pas l’enregistrer.
  • VPN par application : pour chaque connexion Per App VPN à ajouter, sélectionnez Ajouter et procédez comme suit :
    • VPN par application : configuration VPN que l’application utilise pour communiquer.
    • Cliquez sur Enregistrer pour enregistrer le Per App VPN ou cliquez sur Annuler pour ne pas l’enregistrer.

Paramètres Samsung KNOX

Image de l'écran de configuration Stratégies d'appareil

Lorsque vous configurez une stratégie pour Samsung KNOX, elle s’applique uniquement à l’intérieur du conteneur Samsung KNOX.

  • Type de VPN : dans la liste, cliquez sur le type de connexion VPN à configurer, soit Entreprise (applicable aux versions KNOX antérieures à 2.0) soit Générique (applicable aux versions KNOX 2.0 ou ultérieures). La valeur par défaut est Entreprise.

Les sections suivantes répertorient les options de configuration pour chacun des types de connexion précédents.

Configurer le protocole Enterprise pour Samsung KNOX

  • Nom de la connexion : entrez un nom pour la connexion. Ce champ est obligatoire.
  • Nom d’hôte : entrez le nom de l’hôte VPN. Cette option est requise.
  • Activer le serveur de sauvegarde : sélectionnez cette option pour activer un serveur VPN de sauvegarde. Si cette option est activée, dans Serveur VPN de sauvegarde, entrez le nom de domaine complet ou l’adresse IP du serveur VPN de sauvegarde.
  • Activer l’authentification utilisateur : indiquez si l’authentification de l’utilisateur est exigée. Si cette option est activée, vous pouvez configurer les paramètres suivants :
    • Nom d’utilisateur : entrez un nom d’utilisateur.
    • Mot de passe : entrez le mot de passe de l’utilisateur.
  • Nom du groupe : entrez un nom de groupe (facultatif).
  • Méthode d’authentification : dans la liste, cliquez sur la méthode d’authentification à utiliser. Les options possibles sont les suivantes :
    • Certificat : utiliser l’authentification par certificat. Pour l’authentification par certificat, sélectionnez également les informations d’identification à utiliser dans la liste Informations d’identification.
    • Clé prépartagée : utiliser une clé prépartagée Si cette option est sélectionnée, dans le champ Clé prépartagée, entrez la clé du secret partagé.
    • RSA Hybride : utiliser l’authentification hybride utilisant des certificats RSA
    • EAP MD5 : authentifier l’homologue EAP auprès du serveur EAP, mais pas d’authentification mutuelle.
    • EAP MSCHAPv2 : utiliser l’authentification challenge-handshake de Microsoft pour l’authentification mutuelle.
  • Certificat CA : dans la liste, cliquez sur le certificat à utiliser.
  • Activer l’itinéraire par défaut : sélectionnez cette option pour activer un itinéraire par défaut vers le serveur VPN.
  • Activer l’authentification par carte à puce : sélectionnez cette option pour autoriser les utilisateurs à s’authentifier à l’aide de cartes à puce. La valeur par défaut est Désactivé.
  • Activer l’option mobile : sélectionnez cette option si vous souhaitez activer l’option mobile.
  • Valeur du groupe Diffie-Hellman (puissance de clé) : dans la liste, cliquez sur la puissance de clé à utiliser. La valeur par défaut est 0.
  • Type de tunnel de séparation : dans la liste, cliquez sur le type de tunnel de séparation. Les options possibles sont les suivantes :
    • Auto : le tunnel de séparation est automatiquement utilisé.
    • Manuel : le tunnel de séparation est utilisé sur l’adresse IP et le port spécifié sur le serveur VPN.
    • Désactivé : le tunnel de séparation n’est pas utilisé.
  • Type SuiteB : dans la liste, cliquez sur le niveau de chiffrement NSA Suite B à utiliser. Les options possibles sont les suivantes :
    • GCM-128 : utiliser le chiffrement AES-GCM 128 bits. Il s’agit de la valeur par défaut.
    • GCM-256 : utiliser le chiffrement AES-GCM 256 bits.
    • GMAC-128 : utiliser le chiffrement AES-GMAC 128 bits.
    • GMAC-256 : utiliser le chiffrement AES-GMAC 256 bits.
    • Aucun : le chiffrement n’est pas utilisé.
  • Routes de transfert : cliquez sur Ajouter pour ajouter des routes de transfert supplémentaires si votre serveur VPN d’entreprise prend en charge plusieurs tables de routage.

Configurer le protocole générique pour Samsung KNOX

  • Nom de la connexion : entrez un nom pour la connexion. Ce champ est obligatoire.
  • Nom de paquetage de l’agent VPN : nom du paquetage ou ID du VPN installé sur l’appareil ; par exemple, Mocana ou Pulse Secure.
  • Nom d’hôte : entrez le nom de l’hôte VPN. Cette option est requise.
  • Activer l’authentification utilisateur : indiquez si l’authentification de l’utilisateur est exigée. Si cette option est activée, vous pouvez configurer les paramètres suivants :
    • Nom d’utilisateur : entrez un nom d’utilisateur.
    • Mot de passe : entrez le mot de passe de l’utilisateur.
  • Identité : entrez un identifiant (facultatif) pour cette configuration. S’applique uniquement lorsque Type de connexion VPN=IPSEC.
  • Type de connexion VPN : dans la liste, cliquez sur IPSEC ou SSL pour le type de connexion à utiliser. La valeur par défaut est IPSEC. Les sections suivantes décrivent les paramètres de configuration pour chaque type de connexion.
  • Configurer les paramètres de connexion à IPSEC
    • Identité : entrez un identifiant (facultatif) pour cette configuration.
    • Type d’ID de groupe IPsec : dans la liste, cliquez sur le type d’ID de groupe IPsec à utiliser. La valeur par défaut est Valeur par défaut. Les options possibles sont les suivantes :
      • Mode par défaut
      • Adresse IPv4
      • Nom de domaine complet (FQDN)
      • Utilisateur FQDN
      • ID clé IKE
    • Version IKE : dans la liste, cliquez sur la version IKE à utiliser. Le paramètre par défaut est IKEv1
    • Méthode d’authentification : dans la liste, cliquez sur la méthode d’authentification à utiliser. La valeur par défaut est Certificat. Les options possibles sont les suivantes :
      • Certificat : utiliser l’authentification par certificat. Si cette option est sélectionnée, dans la liste Infos d’identification de l’identité, cliquez sur les informations d’identification à utiliser. La valeur par défaut est Aucun.
      • Clé prépartagée : utiliser une clé prépartagée Si cette option est sélectionnée, dans le champ Clé prépartagée, entrez la clé du secret partagé.
      • RSA Hybride : utiliser l’authentification hybride utilisant des certificats RSA
      • EAP MD5 : authentifier l’homologue EAP auprès du serveur EAP, mais pas d’authentification mutuelle.
      • EAP MSCHAPv2 : utiliser l’authentification challenge-handshake de Microsoft pour l’authentification mutuelle.
      • Authentification par carte d’accès commune : utiliser un accès CAC (Common Access Card) pour l’authentification.
    • Certificat CA : dans la liste, cliquez sur le certificat à utiliser.
    • Activer la détection de perte des connexions : indiquez s’il est nécessaire de contacter un homologue pour s’assurer qu’il reste actif. La valeur par défaut est Désactivé.
    • Activer l’itinéraire par défaut : sélectionnez cette option pour activer un itinéraire par défaut vers le serveur VPN.
    • Activer l’option mobile : sélectionnez cette option si vous souhaitez activer l’option mobile.
    • Durée de vie d’IKE en minutes : entrez le nombre de minutes avant que la connexion VPN soit rétablie. Le paramètre par défaut est de 1440 minutes (24 heures).
    • Durée de vie d’IPSEC en minutes : entrez le nombre de minutes avant que la connexion VPN soit rétablie. Le paramètre par défaut est de 1440 minutes (24 heures).
    • Valeur du groupe Diffie-Hellman (puissance de clé) : dans la liste, cliquez sur la puissance de clé à utiliser. La valeur par défaut est 0.
    • Mode d’échange de clés IKE Phase 1 : sélectionnez Principal ou Agressif pour le mode de négociation IKE Phase 1. La valeur par défaut est Principal.
      • Principal : aucune information n’est exposée aux agresseurs potentiels, mais ce mode est plus lent que le mode Agressif.
      • Agressif : certaines informations (par exemple, l’identité des homologues de négociation) sont exposées aux agresseurs lors de la négociation, mais ce mode est plus rapide que le mode Principal.
    • Perfect forward secrecy (PFS) : sélectionnez cette option si vous souhaitez utiliser PFS pour exiger un nouvel échange de clés pour la renégociation d’une connexion.
    • Type de tunnel de séparation : dans la liste, cliquez sur le type de tunnel de séparation. Les options possibles sont les suivantes :
      • Auto : le tunnel de séparation est automatiquement utilisé.
      • Manuel : le tunnel de séparation est utilisé sur l’adresse IP et le port spécifié sur le serveur VPN.
      • Désactivé : le tunnel de séparation n’est pas utilisé.
    • Type SuiteB : dans la liste, cliquez sur le niveau de chiffrement NSA Suite B à utiliser. La valeur par défaut est GCM-128. Les options possibles sont les suivantes :
      • GCM-128 : utiliser le chiffrement AES-GCM 128 bits.
      • GCM-256 : utiliser le chiffrement AES-GCM 256 bits.
      • GMAC-128 : utiliser le chiffrement AES-GMAC 128 bits.
      • GMAC-256 : utiliser le chiffrement AES-GMAC 256 bits.
      • Aucun : le chiffrement n’est pas utilisé.
    • Algorithme de chiffrement IPSEC : configuration VPN utilisée par le protocole IPSec.
    • Algorithme de chiffrement IKE : configuration VPN utilisée par le protocole IPSec.
    • Algorithme d’intégrité IKE : configuration VPN utilisée par le protocole IPSec.
    • Knox : configurations pour Samsung KNOX uniquement.
    • Constructeur : profil personnel pour les agents génériques qui communiquent avec l’API KNOX.
    • Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
      • Route de transfert : entrez l’adresse IP de la route de transfert.
      • Cliquez sur Enregistrerpour enregistrer la route ou cliquez sur Annulerpour ne pas l’enregistrer.
    • VPN par application : pour chaque connexion Per App VPN à ajouter, sélectionnez Ajouter et procédez comme suit :
      • VPN par application : configuration VPN que l’application utilise pour communiquer.
      • Cliquez sur Enregistrer pour enregistrer le Per App VPN ou cliquez sur Annuler pour ne pas l’enregistrer.
  • Configurer les paramètres de connexion à SSL
    • Méthode d’authentification : dans la liste, cliquez sur la méthode d’authentification à utiliser. Les options possibles sont les suivantes :
      • Non applicable : aucune méthode d’authentification n’est appliquée. Il s’agit de l’option par défaut.
      • Certificat : utiliser l’authentification par certificat. Il s’agit de l’option par défaut. Si cette option est sélectionnée, dans la liste des informations d’identification de l’identité, cliquez sur les informations d’identification à utiliser. La valeur par défaut est Aucune.
      • Authentification par carte d’accès commune : utiliser un accès CAC (Common Access Card) pour l’authentification.
    • Certificat CA : dans la liste, cliquez sur le certificat à utiliser.
    • Activer l’itinéraire par défaut : sélectionnez cette option pour activer un itinéraire par défaut vers le serveur VPN.
    • Activer l’option mobile : sélectionnez cette option si vous souhaitez activer l’option mobile.
    • Type de tunnel de séparation : dans la liste, cliquez sur le type de tunnel de séparation. Les options possibles sont les suivantes :
      • Auto : le tunnel de séparation est automatiquement utilisé.
      • Manuel : le tunnel de séparation est utilisé sur l’adresse IP et le port spécifiés.
      • Désactivé : le tunnel de séparation n’est pas utilisé.
    • Type SuiteB : dans la liste, cliquez sur le niveau de chiffrement NSA Suite B à utiliser. La valeur par défaut est GCM-128. Les options possibles sont les suivantes :
      • GCM-128 : utiliser le chiffrement AES-GCM 128 bits.
      • GCM-256 : utiliser le chiffrement AES-GCM 256 bits.
      • GMAC-128 : utiliser le chiffrement AES-GMAC 128 bits.
      • GMAC-256 : utiliser le chiffrement AES-GMAC 256 bits.
      • Aucun : aucun chiffrement n’est utilisé : entrez l’algorithme SSL à utiliser pour la négociation client-serveur.
    • Algorithme SSL : entrez l’algorithme SSL à utiliser pour la négociation client-serveur.
    • Knox : configurations pour Samsung KNOX uniquement.
    • Constructeur : profil personnel pour les agents génériques qui communiquent avec l’API KNOX.
    • Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
      • Route de transfert : entrez l’adresse IP de la route de transfert.
      • Cliquez sur Enregistrerpour enregistrer la route ou cliquez sur Annulerpour ne pas l’enregistrer.
    • VPN par application : pour chaque connexion Per App VPN à ajouter, sélectionnez Ajouter et procédez comme suit :
      • VPN par application : configuration VPN que l’application utilise pour communiquer.
      • Cliquez sur Enregistrer pour enregistrer le Per App VPN ou cliquez sur Annuler pour ne pas l’enregistrer.

Paramètres Windows Phone

Image de l'écran de configuration Stratégies d'appareil

Ces paramètres sont uniquement pris en charge sur les téléphones supervisés Windows 10 et versions ultérieures.

  • Nom de la connexion : entrez un nom pour la connexion Ce champ est obligatoire.
  • Type de profil : dans la liste, cliquez sur Natif ou Plug-in. La valeur par défaut est Natif. Les sections suivantes expliquent les paramètres de chacune de ces options.
  • Configurer les paramètres du type de profil natif : ces paramètres s’appliquent au VPN intégré aux téléphones Windows des utilisateurs.
    • Nom du serveur VPN : entrez le nom de domaine complet ou l’adresse IP du serveur VPN. Ce champ est obligatoire.
    • Protocole de tunneling : dans la liste, cliquez sur le type de tunnel VPN à utiliser. La valeur par défaut est L2TP. Les options possibles sont les suivantes :
      • L2TP : Layer 2 Tunneling Protocol avec authentification par clé pré-partagée.
      • PPTP : protocole PPTP.
      • IKEv2 : Internet Key Exchange version 2.
    • Méthode d’authentification : dans la liste, cliquez sur la méthode d’authentification à utiliser. La valeur par défaut est EAP. Les options possibles sont les suivantes :
      • EAP : protocole d’authentification étendue.
      • MSChapV2 : utiliser l’authentification challenge-handshake de Microsoft pour l’authentification mutuelle. Cette option n’est pas disponible lorsque vous sélectionnez IKEv2 pour le type de tunnel. Lorsque vous choisissez MSChapV2, une option Utiliser automatiquement les informations d’identification Windows s’affiche ; la valeur par défaut est Off.
    • Méthode EAP : dans la liste, cliquez sur la méthode EAP à utiliser. La valeur par défaut est TLS. Ce champ n’est pas disponible lorsque l’authentification MSChapV2 est activée. Les options possibles sont les suivantes :
      • TLS : Transport Layer Security
      • PEAP : Protected Extensible Authentication Protocol
    • Suffixe DNS : entrez le suffixe DNS.
    • Réseaux approuvés : entrez une liste de réseaux séparés par des virgules qui ne nécessitent pas de connexion VPN pour l’accès. Par exemple, lorsque les utilisateurs se trouvent sur le réseau sans fil de votre entreprise, ils peuvent accéder directement aux ressources protégées.
    • Exiger un certificat de carte à puce : sélectionnez cette option pour exiger un certificat de carte à puce. La valeur par défaut est Désactivé.
    • Sélectionner automatiquement le certificat client : sélectionnez cette option pour choisir automatiquement le certificat client à utiliser pour l’authentification. La valeur par défaut est Désactivé. Cette option n’est pas disponible lorsque Exiger un certificat de carte à puce est activé.
    • Mémoriser les informations d’identification : sélectionnez cette option si vous souhaitez mettre en cache les informations d’identification. La valeur par défaut est Désactivé. Lorsque cette option est activée, les informations d’identification sont mises en cache dès que possible.
    • VPN toujours connecté : sélectionnez cette option pour spécifier si la connexion VPN est toujours activée. La valeur par défaut est Désactivé. Lorsque cette option est activée, la connexion VPN reste active jusqu’à ce que l’utilisateur se déconnecte manuellement.
    • Ne pas utiliser le VPN pour les adresses locales : entrez l’adresse et le numéro de port pour permettre à des ressources locales pour contourner le serveur proxy.
  • Configurer les paramètres du type de profil plug-in : ces paramètres s’appliquent aux plug-ins VPN obtenus à partir du Windows Store et installés sur les appareils des utilisateurs.
    • Adresse du serveur : entrez l’URL, le nom d’hôte ou l’adresse IP du serveur VPN.
    • ID de l’application cliente : entrez le nom de famille du package pour le plug-in VPN.
    • XML du profil du plug-in : sélectionnez le profil de plug-in VPN personnalisé en cliquant sur Parcourir et accédez à l’emplacement du fichier. Contactez le fournisseur du plug-in pour des informations sur le format et plus de détails.
    • Suffixe DNS : entrez le suffixe DNS.
    • Réseaux approuvés : entrez une liste de réseaux séparés par des virgules qui ne nécessitent pas de connexion VPN pour l’accès. Par exemple, lorsque les utilisateurs se trouvent sur le réseau sans fil de votre entreprise, ils peuvent accéder directement aux ressources protégées.
    • Mémoriser les informations d’identification : sélectionnez cette option si vous souhaitez mettre en cache les informations d’identification. La valeur par défaut est Désactivé. Lorsque cette option est activée, les informations d’identification sont mises en cache dès que possible.
    • VPN toujours connecté : sélectionnez cette option pour spécifier si la connexion VPN est toujours activée. La valeur par défaut est Désactivé. Lorsque cette option est activée, la connexion VPN reste active jusqu’à ce que l’utilisateur se déconnecte manuellement.
    • Ne pas utiliser le VPN pour les adresses locales : entrez l’adresse et le numéro de port pour permettre à des ressources locales pour contourner le serveur proxy.

Paramètres Windows Desktop/Tablet

Image de l'écran de configuration Stratégies d'appareil

  • Nom de la connexion : entrez un nom pour la connexion Ce champ est obligatoire.
  • Type de profil : dans la liste, cliquez sur Natif ou Plug-in. La valeur par défaut est Natif.
  • Configurer le type de profil natif : ces paramètres s’appliquent au VPN intégré aux appareils Windows des utilisateurs.
    • Adresse du serveur : entrez le nom de domaine complet ou l’adresse IP du serveur VPN. Ce champ est obligatoire.
    • Mémoriser les informations d’identification : sélectionnez cette option si vous souhaitez mettre en cache les informations d’identification. La valeur par défaut est Désactivé. Lorsque cette option est activée, les informations d’identification sont mises en cache dès que possible.
    • Suffixe DNS : entrez le suffixe DNS.
    • Type de tunnel : dans la liste, cliquez sur le type de tunnel VPN à utiliser. La valeur par défaut est L2TP. Les options possibles sont les suivantes :
      • L2TP : Layer 2 Tunneling Protocol avec authentification par clé pré-partagée.
      • PPTP : protocole PPTP.
      • IKEv2 : Internet Key Exchange version 2.
    • Méthode d’authentification : dans la liste, cliquez sur la méthode d’authentification à utiliser. La valeur par défaut est EAP. Les options possibles sont les suivantes :
      • EAP : protocole d’authentification étendue.
      • MSChapV2 : utiliser l’authentification challenge-handshake de Microsoft pour l’authentification mutuelle. Cette option n’est pas disponible lorsque vous sélectionnez IKEv2 pour le type de tunnel.
    • Méthode EAP : dans la liste, cliquez sur la méthode EAP à utiliser. La valeur par défaut est TLS. Ce champ n’est pas disponible lorsque l’authentification MSChapV2 est activée. Les options possibles sont les suivantes :
      • TLS : Transport Layer Security
      • PEAP : Protected Extensible Authentication Protocol
    • Réseaux approuvés : entrez une liste de réseaux séparés par des virgules qui ne nécessitent pas de connexion VPN pour l’accès. Par exemple, lorsque les utilisateurs se trouvent sur le réseau sans fil de votre entreprise, ils peuvent accéder directement aux ressources protégées.
    • Exiger un certificat de carte à puce : sélectionnez cette option pour exiger un certificat de carte à puce. La valeur par défaut est Désactivé.
    • Sélectionner automatiquement le certificat client : sélectionnez cette option pour choisir automatiquement le certificat client à utiliser pour l’authentification. La valeur par défaut est Désactivé. Cette option n’est pas disponible lorsque vous activez Exiger un certificat de carte à puce.
    • VPN toujours connecté : sélectionnez cette option pour spécifier si la connexion VPN est toujours activée. La valeur par défaut est Désactivé. Lorsque cette option est activée, la connexion VPN reste active jusqu’à ce que l’utilisateur se déconnecte manuellement.
    • Ne pas utiliser le VPN pour les adresses locales : entrez l’adresse et le numéro de port pour permettre à des ressources locales pour contourner le serveur proxy.
  • Configurer les paramètres du type de profil plug-in : ces paramètres s’appliquent aux plug-ins VPN obtenus à partir du Windows Store et installés sur les appareils des utilisateurs.
    • Adresse du serveur : entrez le nom de domaine complet ou l’adresse IP du serveur VPN. Ce champ est obligatoire.
    • Mémoriser les informations d’identification : sélectionnez cette option si vous souhaitez mettre en cache les informations d’identification. La valeur par défaut est Désactivé. Lorsque cette option est activée, les informations d’identification sont mises en cache dès que possible.
    • Suffixe DNS : entrez le suffixe DNS.
    • ID de l’application cliente : entrez le nom de famille du package pour le plug-in VPN.
    • XML du profil du plug-in : sélectionnez le profil de plug-in VPN personnalisé en cliquant sur Parcourir et accédez à l’emplacement du fichier. Contactez le fournisseur du plug-in pour des informations sur le format et plus de détails.
    • Réseaux approuvés : entrez une liste de réseaux séparés par des virgules qui ne nécessitent pas de connexion VPN pour l’accès. Par exemple, lorsque les utilisateurs se trouvent sur le réseau sans fil de votre entreprise, ils peuvent accéder directement aux ressources protégées.
    • VPN toujours connecté : sélectionnez cette option pour spécifier si la connexion VPN est toujours activée. La valeur par défaut est Désactivé. Lorsque cette option est activée, la connexion VPN reste active jusqu’à ce que l’utilisateur se déconnecte manuellement.
    • Ne pas utiliser le VPN pour les adresses locales : entrez l’adresse et le numéro de port pour permettre à des ressources locales pour contourner le serveur proxy.

Paramètres Amazon

Image de l'écran de configuration Stratégies d'appareil

  • Nom de la connexion : entrez un nom pour la connexion
  • Type de VPN : cliquez sur le type de connexion. Les options possibles sont les suivantes :
    • L2TP PSK : Layer 2 Tunneling Protocol (L2TP) avec authentification par clé pré-partagée. Il s’agit de l’option par défaut.
    • L2TP RSA : Layer 2 Tunneling Protocol avec authentification RSA.
    • IPSEC XAUTH PSK : Internet Protocol Security (IPSec) avec clé pré-partagée et authentification étendue
    • IPSEC HYBRID RSA : Internet Protocol Security (IPSec) avec authentification RSA hybride
    • PPTP : protocole PPTP.

Les sections suivantes répertorient les options de configuration pour chacun des types de connexion précédents.

Configurer les paramètres L2TP PSK pour Amazon

  • Adresse du serveur : entrez l’adresse IP du serveur VPN.
  • Nom d’utilisateur : entrez un nom d’utilisateur (facultatif).
  • Mot de passe : entrez un mot de passe (facultatif).
  • Secret L2TP : entrez la clé du secret partagé.
  • Identificateur IPSec : entrez le nom de la connexion VPN que les utilisateurs voient sur leurs appareils lors de la connexion.
  • Clé pré-partagée IPSec : entrez la clé secrète.
  • Domaines de recherche DNS : entrez les domaines avec lesquels la liste des domaines de recherche de l’appareil d’un utilisateur peut effectuer une correspondance.
  • Serveurs DNS : entrez les adresses IP des serveurs DNS à utiliser pour résoudre les domaines spécifiés.
  • Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
    • Route de transfert : entrez l’adresse IP de la route de transfert.
    • Cliquez sur Enregistrerpour enregistrer la route ou cliquez sur Annulerpour ne pas l’enregistrer.

Configurer les paramètres L2TP RSA pour Amazon

  • Adresse du serveur : entrez l’adresse IP du serveur VPN.
  • Nom d’utilisateur : entrez un nom d’utilisateur (facultatif).
  • Mot de passe : entrez un mot de passe (facultatif).
  • Secret L2TP : entrez la clé du secret partagé.
  • Domaines de recherche DNS : entrez les domaines avec lesquels la liste des domaines de recherche de l’appareil d’un utilisateur peut effectuer une correspondance.
  • Serveurs DNS : entrez les adresses IP des serveurs DNS à utiliser pour résoudre les domaines spécifiés.
  • Certificat serveur : dans la liste, cliquez sur le certificat serveur à utiliser.
  • Certificat CA : dans la liste, cliquez sur le certificat CA à utiliser.
  • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser.
  • Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
    • Route de transfert : entrez l’adresse IP de la route de transfert.
    • Cliquez sur Enregistrerpour enregistrer la route ou cliquez sur Annulerpour ne pas l’enregistrer.

Configurer les paramètres IPSEC XAUTH PSK pour Amazon

  • Adresse du serveur : entrez l’adresse IP du serveur VPN.
  • Nom d’utilisateur : entrez un nom d’utilisateur (facultatif).
  • Mot de passe : entrez un mot de passe (facultatif).
  • Identificateur IPSec : entrez le nom de la connexion VPN que les utilisateurs voient sur leurs appareils lors de la connexion.
  • Clé pré-partagée IPSec : entrez la clé de secret partagé.
  • Domaines de recherche DNS : entrez les domaines avec lesquels la liste des domaines de recherche de l’appareil d’un utilisateur peut effectuer une correspondance.
  • Serveurs DNS : entrez les adresses IP des serveurs DNS à utiliser pour résoudre les domaines spécifiés.
  • Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
    • Route de transfert : entrez l’adresse IP de la route de transfert.
    • Cliquez sur Enregistrerpour enregistrer la route ou cliquez sur Annulerpour ne pas l’enregistrer.

Configurer les paramètres IPSEC AUTH RSA pour Amazon

  • Adresse du serveur : entrez l’adresse IP du serveur VPN.
  • Nom d’utilisateur : entrez un nom d’utilisateur (facultatif).
  • Mot de passe : entrez un mot de passe (facultatif).
  • Domaines de recherche DNS : entrez les domaines avec lesquels la liste des domaines de recherche de l’appareil d’un utilisateur peut effectuer une correspondance.
  • Serveurs DNS : entrez les adresses IP des serveurs DNS à utiliser pour résoudre les domaines spécifiés.
  • Certificat serveur : dans la liste, cliquez sur le certificat serveur à utiliser.
  • Certificat CA : dans la liste, cliquez sur le certificat CA à utiliser.
  • Infos d’identification de l’identité : dans la liste, cliquez sur les informations d’identification de l’identité à utiliser.
  • Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
    • Route de transfert : entrez l’adresse IP de la route de transfert.
    • Cliquez sur Enregistrerpour enregistrer la route ou cliquez sur Annulerpour ne pas l’enregistrer.

Configurer les paramètres IPSEC HYBRID RSA pour Amazon

  • Adresse du serveur : entrez l’adresse IP du serveur VPN.
  • Nom d’utilisateur : entrez un nom d’utilisateur (facultatif).
  • Mot de passe : entrez un mot de passe (facultatif).
  • Domaines de recherche DNS : entrez les domaines avec lesquels la liste des domaines de recherche de l’appareil d’un utilisateur peut effectuer une correspondance.
  • Serveurs DNS : entrez les adresses IP des serveurs DNS à utiliser pour résoudre les domaines spécifiés.
  • Certificat serveur : dans la liste, cliquez sur le certificat serveur à utiliser.
  • Certificat CA : dans la liste, cliquez sur le certificat CA à utiliser.
  • Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
    • Route de transfert : entrez l’adresse IP de la route de transfert.
    • Cliquez sur Enregistrerpour enregistrer la route ou cliquez sur Annulerpour ne pas l’enregistrer.

Configurer les paramètres PPTP pour Amazon

  • Adresse du serveur : entrez l’adresse IP du serveur VPN.
  • Nom d’utilisateur : entrez un nom d’utilisateur (facultatif).
  • Mot de passe : entrez un mot de passe (facultatif).
  • Domaines de recherche DNS : entrez les domaines avec lesquels la liste des domaines de recherche de l’appareil d’un utilisateur peut effectuer une correspondance.
  • Serveurs DNS : entrez les adresses IP des serveurs DNS à utiliser pour résoudre les domaines spécifiés.
  • Cryptage PPP (MPPE) : sélectionnez cette option si vous souhaitez activer le cryptage de données avec Microsoft Point-to-Point Encryption (MPPE). La valeur par défaut est Désactivé.
  • Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
    • Route de transfert : entrez l’adresse IP de la route de transfert.
    • Cliquez sur Enregistrerpour enregistrer la route ou cliquez sur Annulerpour ne pas l’enregistrer.

Paramètres Chrome OS

Image de l'écran de configuration Stratégies d'appareil

  • Nom de la connexion VPN : saisissez une description claire pour cette connexion. Ce paramètre est requis.
  • Priorité de ce réseau : saisissez une valeur de priorité suggérée pour ce réseau. Utilisez une valeur entière.
  • Type de connexion : dans la liste, sélectionnez OpenVPN comme type de connexion.

La sélection de OpenVPN affiche des paramètres supplémentaires spécifiques aux connexions OpenVPN. Faites défiler l’écran pour voir tous les paramètres.

Image de l'écran de configuration Stratégies d'appareil

  • Hôte : saisissez le nom d’hôte ou l’adresse IP du serveur auquel le VPN se connecte. Obligatoire pour OpenVPN. La valeur que vous tapez ici est l’hôte principal. Vous pouvez aussi configurer des hôtes supplémentaires auxquels se connecter si la connexion à l’hôte principal échoue.
  • Connexion automatique : sélectionnez si le VPN se connecte automatiquement à l’hôte. Si ce paramètre est défini sur Activé, le VPN se connecte automatiquement à l’hôte. La valeur par défaut est Désactivé.
  • Port : entrez le numéro de port du serveur hôte. La valeur par défaut est 1194.
  • Protocole : tapez le protocole utilisé lors de la communication avec le serveur hôte. La valeur par défaut est UPD.
  • Type d’authentification utilisateur : dans la liste, choisissez la forme d’authentification utilisateur requise :
    • Aucun : aucun mot de passe ou code PIN unique requis.
    • Mot de passe : mot de passe seulement. Vous pouvez configurer cette valeur ou laisser l’utilisateur la fournir au moment de la connexion.
    • Mot de passe et OTP : mot de passe et code PIN unique. Vous pouvez configurer ces valeurs ou laisser l’utilisateur les fournir au moment de la connexion.
    • OTP : code PIN unique. Vous pouvez configurer cette valeur ou laisser l’utilisateur la fournir au moment de la connexion.
  • Nom d’utilisateur : tapez le nom d’utilisateur utilisé pour la connexion au VPN. S’il n’est pas spécifié, l’utilisateur est invité à entrer un nom d’utilisateur au moment de la connexion. Cette valeur est soumise à des extensions de chaîne de texte :
    • ${LOGIN_ID} s’étend à l’adresse e-mail de l’utilisateur avant le symbole @.
    • ${LOGIN_EMAIL} s’étend à l’adresse e-mail de l’utilisateur.
  • Mot de passe : tapez la chaîne de texte du mot de passe utilisé pour la connexion au VPN. S’il n’est pas spécifié, l’utilisateur est invité à entrer un mot de passe au moment de la connexion.
  • OTP : tapez la chaîne de texte du code PIN unique utilisé pour la connexion au VPN. Chaîne de texte de mot de passe. S’il n’est pas spécifié, l’utilisateur est invité à entrer un code PIN unique au moment de la connexion.
  • Enregistrer informations d’identification : indiquez si les informations d’identification de l’utilisateur sont enregistrées après une connexion. Si ce paramètre est défini sur Désactivé, les utilisateurs doivent entrer leurs informations d’identification chaque fois qu’ils se connectent.
  • Enregistrer informations d’authentification de cache en mémoire : indiquez si les mots de passe utilisateur et les codes PIN uniques saisis par les utilisateurs sont mis en mémoire cache sur l’appareil. Si ce paramètre est défini sur Activé, la mise en cache est activée. La valeur par défaut est Désactivé.
  • Auth : tapez l’algorithme d’authentification utilisé pour sécuriser la connexion. Valeur par défaut SHA-1.
  • Type de nouvelle tentative d’authentification : dans la liste, sélectionnez la manière dont le VPN répond lorsque les informations d’identification de l’utilisateur ne peuvent pas être vérifiées. Les options sont Échec avec erreur lors de la nouvelle tentative, Réessayer sans demander d’authentification et Demander authentification à chaque fois. La valeur par défaut est Échec avec erreur lors de la nouvelle tentative.
  • Chiffrement : tapez l’algorithme de chiffrement utilisé pour sécuriser la connexion. La valeur par défaut est BF-CBC.
  • Compression LZO : indiquez si vous souhaitez utiliser la compression LZO pour le VPN. Si ce paramètre est défini sur Activé, le VPN utilise la compression LZO. La valeur par défaut est Désactivé.
  • Compression adaptative : indiquez si vous souhaitez utiliser la compression adaptative pour le VPN. Si ce paramètre est défini sur Activé, le VPN utilise la compression adaptative. La valeur par défaut est Désactivé.

Image de l'écran de configuration Stratégies d'appareil

  • Hôtes supplémentaires : configurez une liste d’hôtes à essayer, dans l’ordre, si l’appareil ne peut pas se connecter à l’hôte principal. La configuration de ces hôtes supplémentaires est facultative.
    1. Cliquez sur Ajouter à droite du nom d’hôte.
    2. Entrez le nom d’hôte ou l’adresse IP du serveur.
    3. Cliquez sur Enregistrer.

    Répétez ces étapes pour ajouter des hôtes supplémentaires.

  • Délai d’interrogation du serveur en secondes : saisissez le nombre maximal de secondes pour tenter de se connecter à ce serveur avant de passer au serveur suivant dans la liste.
  • Ignorer route par défaut : indiquez si l’hôte peut ignorer la passerelle VPN. Par défaut, le périphérique crée une route par défaut vers l’adresse de passerelle annoncée par le serveur VPN. Si ce paramètre est défini sur ON, le split tunneling est autorisé. La valeur par défaut est Désactivé. Si le serveur envoie un indicateur de configuration de redirection au client, ce paramètre est ignoré.
  • Direction de la clé : tapez la chaîne de texte de la direction de la clé. La direction de la clé est transmise sous la forme “–key-direction”.
  • Type de certificat d’homologue : tapez “server” pour vérifier le type de certificat d’homologue. Si ce paramètre n’est pas défini, le type de certificat d’homologue n’est pas vérifié.
  • Informations d’homologues de push : indiquez si les informations du certificat d’homologue sont transmises à cet hôte. Si ce paramètre est défini sur Activé, les informations d’homologue sont transmises. La valeur par défaut est Désactivé.
  • Utilisation améliorée de la clé du certificat d’homologue : tapez la chaîne de texte d’utilisation améliorée de la clé explicite, en notation OID, avec laquelle le certificat homologue doit être signé. Facultatif.