虚拟专用网络（VPN）确保所有数据通过安全通道传输，这意味着严格要求身份验证或特殊证书来建立连接性。因此，每个企业都倾向于配置VPN，以确保所有企业数据不受黑客或未经验证的用户的攻击。VPN是必不可少的，没有VPN，用户就无法在办公室以外访问公司网络，而由于移动设备已经成为生产工具，员工需要从任何地点获取公司数据。作为管理员，您需要为所有被管移动设备配置VPN。您可以创建VPN配置文件并将其关联到设备。

　　在设备上配置VPN配置文件时，用户每次都必须打开移动设备上的VPN设置才能访问受保护的公司数据。由于VPN在WiFi或移动数据上运行，所以每当设备失去与互联网的连接时，VPN连接就会自动关闭，用户必须手动打开，才能访问公司数据。为解决这个问题，您可以选择VPN On-Demand。顾名思义，VPN连接只在特定域需要时建立，无需用户手动打开。

　　您必须指定应该为其打开VPN的域，可以用逗号分隔要添加的多个域。下表帮助您输入需要在产品服务器上输入的内容，以便为移动设备配置VPN。MDM支持以下内置VPN连接类型：

　　App Store中没有Juniper SSL应用。只能为已包含该应用的设备配置此VPN类型。要配置自定义SSL VPN，管理员必须手动输入应用详细信息。所有其他插件应用都可以使用ABM添加并静默分发到设备。点击这里了解有关应用分发的更多信息，点击这里了解如何在iOS设备中静默安装应用。

　　除在被管设备上配置VPN外，MDM还为您提供了在设备上使用证书作为身份验证手段来配置VPN的选项。众所周知，身份验证在建立VPN连接中起着重要作用，而证书通常被认为是比预共享密钥更安全的身份验证形式。而且，在大型VPN网络中，管理大量的预共享密钥可能很麻烦，在这种情况下，证书是一种更具可扩展性的替代方案。此外，预共享密钥绑定到IP地址，但证书不绑定到IP地址，从而确保具有动态分配IP地址的远程用户可以使用证书中包含的标识信息进行身份验证。您可以参阅这里配置证书，并按照这里批量分发。

　　指定身份验证域。身份验证域指定用户使用VPN服务必须遵守的条件。它是一组身份验证资源，包括身份验证服务器、身份验证策略等，通常由网络管理员完成。

　　指定用户角色。用户角色是定义用户会话参数（如会话设置）、个性化设置（如书签）和其他已启用的辅助功能的实体。例如，用户角色可以定义用户是否可以执行Web浏览。

　　DPD用于标识被管设备与VPN之间的连接是否已建立。如果DPD设置为高，则验证连接建立的时间间隔很短。如果设置为中或低，则时间间隔将增加。

　　完全正向保密（PFS）是一种属性，它可以确保过去通信的安全性，以防将来密钥/密码被泄露华为网络配置平台 vpn 接入 系统 命令。例如，即使有人现在获得了访问密钥/密码，也不能用于访问以前的通信。

　　MOBIKE确保在从一个地址移动到另一个地址时，与VPN网关的连接处于活动状态。此外，在主机连接到多个网络的情况下，如果当前使用的接口停止工作，MOBIKE可用于将流量移动到另一个接口。

　　互联网密钥交换安全关联（IKE SA）用于首次在VPN和设备之间建立通信，可以使用证书/预共享密钥/用户名。