Le VPN à la demande est le processus d'établissement automatique d'une connexion VPN pour des domaines spécifiques. Pour une meilleure sécurité et une plus grande facilité d'utilisation, le VPN à la demande utilise, pour l'authentification, des certificats au lieu des codes d'accès simples.

Conditions préalables

Assurez-vous que votre autorité de certification et les modèles de certificat dans Workspace ONE UEM sont convenablement configurés pour la distribution des certificats. Rendez l'application VPN tierce de votre choix disponible pour les utilisateurs en l'envoyant vers les terminaux ou en la recommandant dans votre catalogue d'applications d'entreprise.

Procédure

  1. Accédez à Ressources > Profils et lignes de base > Profils > Ajouter, puis sélectionnez iOS.
  2. Sélectionnez la section de configuration VPN dans la liste.
  3. Configurez votre profil VPN de base en conséquence.
  4. Sélectionnez Certificat dans le menu déroulant Authentification de l'utilisateur. Naviguez vers la section de configuration Identifiants.
    1. Dans le menu déroulant Source des identifiants, sélectionnez Autorité de certification définie.
    2. Sélectionnez l'Autorité de certification et le Modèle de certificat dans les menus déroulants correspondants.
    3. Revenez à la section de configuration VPN.
  5. Sélectionnez le Certificat d'identité tel qu'il est indiqué dans la section de configuration Identifiants si vous appliquez une authentification de certificat au profil VPN.
  6. Cochez la case Activer le VPN à la demande.
  7. Configurez l'option Utiliser les nouvelles clés à la demande (iOS 7) pour activer une connexion VPN lorsque les utilisateurs accèdent à l'un des domaines spécifiés :
    Paramètre Description
    Utiliser de nouvelles clés à la demande (iOS 7 et versions ultérieures) Sélectionnez cette option pour utiliser la nouvelle syntaxe qui permet d'indiquer des règles VPN plus granulaires.
    Règle à la demande/Action

    Choisissez une Action pour définir le comportement VPN à appliquer à la connexion VPN en fonction des critères définis. Si le critère est vrai, l'action spécifiée se produit.

    • Évaluer la connexion : établit automatiquement la connexion au tunnel VPN en fonction des paramètres réseau et des caractéristiques de chaque connexion. L'évaluation se produit chaque fois que le VPN se connecte à un site Web.
    • Connecter : établit automatiquement la connexion au tunnel VPN lors de la nouvelle tentative de connexion au réseau si les critères réseau sont satisfaits.
    • Déconnecter : désactive automatiquement la connexion au tunnel VPN et ne se reconnecte pas à la demande si les critères réseau sont satisfaits.
    • Ignorer : quitte la connexion VPN existante, mais ne se reconnecte pas à la demande si les critères réseau sont satisfaits.
    Paramètre d'action

    Configurez les Paramètres d'action pour que les domaines spécifiés déclenchent une tentative de connexion VPN en cas d'échec de la résolution des noms de domaine, par exemple lorsque le serveur DNS indique qu'il ne parvient pas à résoudre le domaine, répond par une redirection vers un autre serveur ou ne parvient pas à répondre (expiration).

    Si vous choisissez Évaluer la connexion, ces options sont les suivantes :

    • Choisissez Connecter si besoin/Ne jamais connecter et saisissez des informations supplémentaires :

      • Domaines – Saisissez les domaines pour lesquels cette évolution s'applique.
      • Analyse de l'URL – Saisissez une URL HTTP ou, de préférence, HTTPS à analyser à l'aide d'une requête GET. Si le nom d'hôte de l'URL ne peut pas être résolu, si le serveur est inaccessible ou ne répond pas avec un code de statut 200 HTTP, une connexion VPN est établie en réponse.
      • Serveurs DNS – Saisissez une série d'adresses IP de serveur DNS à utiliser pour la résolution des domaines spécifiés. Ces serveurs ne doivent pas nécessairement faire partir de la configuration réseau actuelle du terminal. Si ces serveurs DNS ne sont pas accessibles, une connexion VPN est établie en réponse. Il doit s'agir de serveurs DNS internes ou de serveurs DNS externes approuvés. (facultatif)
    Critères/Valeur pour le paramètre
    • Correspondance des interfaces – Sélectionnez le type de connexion qui correspond à l'adaptateur actuel du réseau du terminal. Les valeurs disponibles sont Tout, Wifi, Ethernet et Cellulaire.
    • Détection de l'URL – Saisissez l'URL spécifiée pour que les critères soient satisfaits. Lorsque les critères sont satisfaits, un code de statut 200 HTTP est renvoyé. Ce format inclut le protocole (https).
    • Correspondance SSID – Saisissez l'ID réseau actuel du terminal. Pour que les critères soient satisfaits, l'ID doit correspondre à au moins l'une des valeurs de la plage.
      • Utilisez l'icône + pour entrer plusieurs SSID si nécessaire.
    • Correspondance de domaines DSN – Saisissez le domaine de recherche du réseau actuel du terminal. Vous pouvez utiliser un caractère générique (*.exemple.com).
    • Correspondance d'adresses DNS – Saisissez l'adresse DNS qui correspond à l'adresse IP du serveur DNS actuel du terminal. Pour que les critères soient satisfaits, toutes les adresses IP répertoriées du terminal doivent être entrées. Vous pouvez effectuer la mise en correspondance avec un seul caractère générique (17.*).
  8. Vous pouvez également choisir l'option existante VPN à la demande :
    Paramètre Description
    Domaine ou hôte

    Action à la demande

    • Établir si nécessaire ou Toujours établir – Établit une connexion VPN uniquement si la page indiquée n'est pas accessible directement.
    • Ne jamais établir – N'établit pas de connexion VPN pour les adresses correspondant au domaine indiqué. Cependant, si un VPN est déjà actif, celui-ci peut être utilisé.
  9. Utilisez l'icône + pour ajouter d'autres Règles et Paramètres d'action si nécessaire.
  10. Choisissez un type de Proxy :
    Paramètre Description
    Proxy

    Sélectionnez le type de proxy Manuel ou Automatique pour configurer cette connexion VPN.

    Serveur Saisissez l'URL du serveur proxy.
    Port Saisissez le port utilisé pour communiquer avec le proxy.
    Nom d'utilisateur Saisissez le nom d'utilisateur pour vous connecter au serveur proxy.
    Mot de passe Saisissez le mot de passe pour vous authentifier.
  11. Effectuez les Configurations du fournisseur. Ces valeurs sont propres à chaque fournisseur VPN.
    Paramètre Description
    Clés du fournisseur

    Sélectionnez cette option pour créer des clés personnalisées à ajouter au dictionnaire de configuration du fournisseur.

    Clé Saisissez la clé spécifique fournie par le fournisseur.
    Valeur Saisissez la valeur VPN pour chaque clé.
  12. Cliquez sur Enregistrer et publier. Une fois le profil installé sur le terminal d'un utilisateur, une invite de connexion via le VPN s'affiche automatiquement dès que l'utilisateur navigue vers un site concerné, comme SharePoint.