Configuration VPN
Déployez des profils VPN sécurisés sur tous vos appareils pour protéger les connexions au réseau d'entreprise.
Pourquoi configurer le VPN via MDM ?
La configuration VPN via MDM permet de déployer automatiquement les paramètres de connexion sur tous les appareils sans intervention utilisateur. Les identifiants et certificats sont sécurisés et l'utilisateur n'a pas besoin de les connaître.
Types de VPN supportés
IKEv2/IPSec
Protocole moderne, rapide et sécurisé. Idéal pour les appareils mobiles grâce à sa gestion native des changements de réseau.
Supporté : iOS, Android, Windows, macOS
L2TP/IPSec
Protocole classique avec double encapsulation. Compatible avec la plupart des serveurs VPN d'entreprise.
Supporté : iOS, Android, Windows, macOS
Cisco AnyConnect
Solution VPN d'entreprise Cisco. Nécessite l'application AnyConnect installée sur les appareils.
Supporté : iOS, Android, Windows, macOS
OpenVPN
VPN open source flexible. Nécessite l'application OpenVPN Connect. Configuration via fichier .ovpn.
Supporté : iOS, Android, Windows, macOS
PPTP
Protocole ancien, déconseillé pour des raisons de sécurité. À éviter pour les nouvelles configurations.
Déprécié sur iOS, disponible Android/Windows
Per-App VPN
VPN activé uniquement pour certaines applications. Permet de router seulement le trafic professionnel via le VPN.
Supporté : iOS (supervisé), Android (Work Profile)
Configuration VPN Android
VPN IKEv2/IPSec
- 1.1
Créez un profil VPN Android
Profiles > Create Profile > Android > VPN Configuration
- 1.2
Configurez les paramètres
- • Connection Name : Nom affiché à l'utilisateur
- • VPN Type : IKEv2/IPSec
- • Server Address : Adresse IP ou nom d'hôte du serveur VPN
- • Remote ID : Identifiant du serveur (souvent le même que l'adresse)
- 1.3
Configurez l'authentification
- • Username/Password : Identifiants utilisateur
- • Certificate : Authentification par certificat
- • EAP : Extended Authentication Protocol
- 1.4
Options avancées
- • Always-On VPN : Connexion permanente obligatoire
- • Lockdown : Bloquer le trafic si VPN déconnecté
- • Split Tunneling : Router seulement certains sous-réseaux via VPN
Per-App VPN (Android Enterprise)
- 1.1
Configurez le VPN comme ci-dessus
- 1.2
Activez Per-App VPN
Sélectionnez les applications qui utiliseront le VPN. Le trafic des autres applications passera par la connexion normale.
Configuration VPN iOS/iPadOS
- 2.1
Créez un profil VPN iOS
Profiles > Create Profile > iOS > VPN
- 2.2
Sélectionnez le type de VPN
- • IKEv2 : Recommandé pour les déploiements modernes
- • L2TP : Compatible avec les anciens serveurs
- • IPSec (Cisco) : Pour les infrastructures Cisco
- 2.3
Configurez les paramètres serveur
- • Server : Adresse du serveur VPN
- • Remote Identifier : Identifiant du serveur
- • Local Identifier : Identifiant de l'appareil (optionnel)
- 2.4
Authentification
- • Machine Authentication : Certificat machine ou Shared Secret
- • User Authentication : Username/Password, Certificat, ou EAP
VPN On Demand (iOS)
Configurez des règles pour connecter automatiquement le VPN selon le réseau :
- • Always : Toujours connecté
- • Never : Jamais automatique (manuel)
- • On Demand : Connexion selon les règles (domaines, SSID, etc.)
Configuration VPN Windows
- 3.1
Créez un profil VPN Windows
Profiles > Create Profile > Windows > VPN
- 3.2
Types de VPN Windows
- • Automatic : Windows choisit le meilleur protocole
- • IKEv2 : Protocole moderne recommandé
- • SSTP : VPN over HTTPS, passe les pare-feux
- • L2TP/IPSec : Protocole classique
- 3.3
Always On VPN (Windows 10/11)
- • Device Tunnel : Connexion avant logon utilisateur
- • User Tunnel : Connexion après authentification
- • Traffic Filters : Définir le trafic à router via VPN
Authentification par certificat
L'authentification par certificat est plus sécurisée que les mots de passe et ne nécessite pas de saisie utilisateur.
- 1
Déployez le certificat CA
Créez un profil de certificat avec le certificat de l'autorité de certification
- 2
Déployez les certificats utilisateur
- • SCEP : Distribution automatique via serveur SCEP
- • PKCS12 : Importation de certificats pré-générés (.p12/.pfx)
- 3
Référencez les certificats dans le profil VPN
Sélectionnez le certificat utilisateur pour l'authentification machine et/ou utilisateur
Bonnes pratiques
Utilisez IKEv2 en priorité
IKEv2 offre le meilleur compromis entre sécurité et performance. Il gère automatiquement les changements de réseau (WiFi vers 4G par exemple).
Privilégiez l'authentification par certificat
Les certificats sont plus sécurisés que les mots de passe et évitent le risque de phishing ou de fuite d'identifiants.
Configurez le Split Tunneling judicieusement
Le split tunneling peut améliorer les performances mais réduit la sécurité. Routez uniquement le trafic nécessaire via le VPN.
Testez la reconnexion automatique
Vérifiez que le VPN se reconnecte automatiquement après une perte de connexion ou un changement de réseau.
Problèmes courants et solutions
La connexion VPN échoue
Solution : Vérifiez l'adresse du serveur et le type de VPN. Assurez-vous que les ports nécessaires sont ouverts (UDP 500, 4500 pour IKEv2).
Erreur de certificat
Solution : Vérifiez que le certificat CA est bien installé. Assurez-vous que le certificat utilisateur n'est pas expiré et correspond au nom d'hôte du serveur.
Le VPN se déconnecte fréquemment
Solution : Configurez des timeouts plus longs côté serveur. Vérifiez la qualité du réseau. Sur mobile, désactivez l'optimisation de batterie pour l'application VPN.
Pas d'accès aux ressources internes
Solution : Vérifiez la configuration du split tunneling. Assurez-vous que les routes vers le réseau interne sont correctement configurées dans le profil VPN.