Я пытаюсь впервые развернуть iPad в школьном округе и наткнулся на препятствие. Во-первых, настройки веб-прокси относятся к сети Wi-Fi, и я не вижу возможности развернуть настройку общего прокси-сервера на всех iPad. Поэтому я подумал, что, возможно, VPN подойдет, так как я могу настроить для этого прокси через Configuration Manager. Но сама настройка VPN по-прежнему контролируется пользователем, что в значительной степени противоречит цели. Кроме того, не похоже, что VPN-соединения восстанавливаются после перезапуска устройства.
Изменить: Кроме того, эти iPad поддерживают 3G, который может быть включен в какой-то момент, поэтому его также необходимо проксировать. Обычно для этого нет даже настройки. Только через VPN мы можем сделать это прямо сейчас, и, как я уже сказал, эта настройка довольно слабая.
У меня есть заказчик школьного округа, у которого совершенно другие требования. Мне следовало более внимательно прочитать ваш вопрос и обсуждение вокруг него.
Мы решили пойти по маршруту выделенного SSID, идущего к VLAN с правилами брандмауэра, чтобы направлять HTTP-трафик на прозрачный прокси. Это ограничивает нашу потребность в любой конфигурации самих устройств iPod и iPad, поскольку они имеют такой ограниченный набор функций «корпоративной» конфигурации. Это также позволяет нам контролировать трафик, исходящий от устройств, чтобы предотвратить использование «мошеннических» прокси-серверов или VPN-соединений.
re: Физическая безопасность - мы относимся к устройствам как к полностью ненадежным и изолируем их для связи с Интернетом и службами DMZ (HTTPS к серверу WebDAV и т. д.). Студент определенно может "взломать" устройство, поэтому мы предполагаем, что они ненадежны.
Редактировать:
Требования моего клиента касались только фильтрации контента при использовании его в интернет-соединении Округа. Нам все равно (правильно или неправильно, по мнению юриста Округа, это нормально), к какому контенту получают доступ устройства при использовании через Интернет-соединение, не контролируемое Округом.
Ясно, что я неправильно это прочитал (и я идиот ...> улыбка <).
Вы говорите, что независимо от типа используемого подключения к Интернету, вы хотите, чтобы весь трафик отправлялся на прокси-сервер. Ты мог пытаться для принудительного подключения VPN по запросу, но я подозреваю, что вы не можете указать имя домена (стр. 35 руководство по развертыванию на предприятии что Zoredache связан с) для соответствия (фактически соответствует "*"). У меня сейчас нет под рукой инструментов корпоративного развертывания, поэтому я не могу это проверить. Я хотел бы услышать, если вы попробуете, и это сработает.
Однако, предполагая, что вы используете принудительное VPN-соединение, для пользователя было бы довольно тривиально вызвать сбой VPN-соединения (настройки в их домашнем маршрутизаторе на уровне 3 или в их DNS, если вы подключаетесь к VPN-серверу с помощью name), и устройство предположительно будет работать без VPN-соединения. Вам нужно это проверить.
Я думаю, вы ищете сад с более высокими стенами, чем тот, который построили Стив и компания.