Guide fonctionnalitéMulti-plateformes

Configuration VPN

Déployez des profils VPN sécurisés sur tous vos appareils pour protéger les connexions au réseau d'entreprise.

Android, iOS, Windows, macOSSécurité avancée

Pourquoi configurer le VPN via MDM ?

La configuration VPN via MDM permet de déployer automatiquement les paramètres de connexion sur tous les appareils sans intervention utilisateur. Les identifiants et certificats sont sécurisés et l'utilisateur n'a pas besoin de les connaître.

Types de VPN supportés

IKEv2/IPSec

Protocole moderne, rapide et sécurisé. Idéal pour les appareils mobiles grâce à sa gestion native des changements de réseau.

Supporté : iOS, Android, Windows, macOS

L2TP/IPSec

Protocole classique avec double encapsulation. Compatible avec la plupart des serveurs VPN d'entreprise.

Supporté : iOS, Android, Windows, macOS

Cisco AnyConnect

Solution VPN d'entreprise Cisco. Nécessite l'application AnyConnect installée sur les appareils.

Supporté : iOS, Android, Windows, macOS

OpenVPN

VPN open source flexible. Nécessite l'application OpenVPN Connect. Configuration via fichier .ovpn.

Supporté : iOS, Android, Windows, macOS

PPTP

Protocole ancien, déconseillé pour des raisons de sécurité. À éviter pour les nouvelles configurations.

Déprécié sur iOS, disponible Android/Windows

Per-App VPN

VPN activé uniquement pour certaines applications. Permet de router seulement le trafic professionnel via le VPN.

Supporté : iOS (supervisé), Android (Work Profile)

Configuration VPN Android

VPN IKEv2/IPSec

1.1
Créez un profil VPN Android
Profiles > Create Profile > Android > VPN Configuration
1.2
Configurez les paramètres
- • Connection Name : Nom affiché à l'utilisateur
- • VPN Type : IKEv2/IPSec
- • Server Address : Adresse IP ou nom d'hôte du serveur VPN
- • Remote ID : Identifiant du serveur (souvent le même que l'adresse)
1.3
Configurez l'authentification
- • Username/Password : Identifiants utilisateur
- • Certificate : Authentification par certificat
- • EAP : Extended Authentication Protocol
1.4
Options avancées
- • Always-On VPN : Connexion permanente obligatoire
- • Lockdown : Bloquer le trafic si VPN déconnecté
- • Split Tunneling : Router seulement certains sous-réseaux via VPN

Per-App VPN (Android Enterprise)

1.1
Configurez le VPN comme ci-dessus
1.2
Activez Per-App VPN
Sélectionnez les applications qui utiliseront le VPN. Le trafic des autres applications passera par la connexion normale.

Configuration VPN iOS/iPadOS

2.1
Créez un profil VPN iOS
Profiles > Create Profile > iOS > VPN
2.2
Sélectionnez le type de VPN
- • IKEv2 : Recommandé pour les déploiements modernes
- • L2TP : Compatible avec les anciens serveurs
- • IPSec (Cisco) : Pour les infrastructures Cisco
2.3
Configurez les paramètres serveur
- • Server : Adresse du serveur VPN
- • Remote Identifier : Identifiant du serveur
- • Local Identifier : Identifiant de l'appareil (optionnel)
2.4
Authentification
- • Machine Authentication : Certificat machine ou Shared Secret
- • User Authentication : Username/Password, Certificat, ou EAP

VPN On Demand (iOS)

Configurez des règles pour connecter automatiquement le VPN selon le réseau :

• Always : Toujours connecté
• Never : Jamais automatique (manuel)
• On Demand : Connexion selon les règles (domaines, SSID, etc.)

Configuration VPN Windows

3.1
Créez un profil VPN Windows
Profiles > Create Profile > Windows > VPN
3.2
Types de VPN Windows
- • Automatic : Windows choisit le meilleur protocole
- • IKEv2 : Protocole moderne recommandé
- • SSTP : VPN over HTTPS, passe les pare-feux
- • L2TP/IPSec : Protocole classique
3.3
Always On VPN (Windows 10/11)
- • Device Tunnel : Connexion avant logon utilisateur
- • User Tunnel : Connexion après authentification
- • Traffic Filters : Définir le trafic à router via VPN

Authentification par certificat

L'authentification par certificat est plus sécurisée que les mots de passe et ne nécessite pas de saisie utilisateur.

1
Déployez le certificat CA
Créez un profil de certificat avec le certificat de l'autorité de certification
2
Déployez les certificats utilisateur
- • SCEP : Distribution automatique via serveur SCEP
- • PKCS12 : Importation de certificats pré-générés (.p12/.pfx)
3
Référencez les certificats dans le profil VPN
Sélectionnez le certificat utilisateur pour l'authentification machine et/ou utilisateur

Bonnes pratiques

Utilisez IKEv2 en priorité

IKEv2 offre le meilleur compromis entre sécurité et performance. Il gère automatiquement les changements de réseau (WiFi vers 4G par exemple).

Privilégiez l'authentification par certificat

Les certificats sont plus sécurisés que les mots de passe et évitent le risque de phishing ou de fuite d'identifiants.

Configurez le Split Tunneling judicieusement

Le split tunneling peut améliorer les performances mais réduit la sécurité. Routez uniquement le trafic nécessaire via le VPN.

Testez la reconnexion automatique

Vérifiez que le VPN se reconnecte automatiquement après une perte de connexion ou un changement de réseau.

Problèmes courants et solutions

La connexion VPN échoue

Solution : Vérifiez l'adresse du serveur et le type de VPN. Assurez-vous que les ports nécessaires sont ouverts (UDP 500, 4500 pour IKEv2).

Erreur de certificat

Solution : Vérifiez que le certificat CA est bien installé. Assurez-vous que le certificat utilisateur n'est pas expiré et correspond au nom d'hôte du serveur.

Le VPN se déconnecte fréquemment

Solution : Configurez des timeouts plus longs côté serveur. Vérifiez la qualité du réseau. Sur mobile, désactivez l'optimisation de batterie pour l'application VPN.

Pas d'accès aux ressources internes

Solution : Vérifiez la configuration du split tunneling. Assurez-vous que les routes vers le réseau interne sont correctement configurées dans le profil VPN.