使用成熟的行业标准虚拟专用网络 (VPN) 协议，可在 iOS、iPadOS、macOS、Apple tvOS、watchOS 和 visionOS 中安全地访问专用公司网络。

iOS、iPadOS、macOS、Apple tvOS、watchOS 和 visionOS 支持以下协议和认证方式：

IKEv2：支持 IPv4 和 IPv6 以及：

认证方式：共享密钥、证书、EAP-TLS 和 EAP-MSCHAPv2

Suite B 密码系统：ECDSA 证书、使用 GCM 的 ESP 加密以及针对 Diffie-Hellman 群组的 ECP 群组

附加功能：MOBIKE、IKE 碎片、服务器重定向、分离隧道

iOS、iPadOS、macOS 和 visionOS 还支持以下协议和认证方式：

IPsec 上的 L2TP：使用 MS-CHAP v2 密码、双因子令牌、证书进行用户认证，使用共享密钥或证书进行机器认证

macOS 还可以通过共享密钥或证书（通过“IPsec 上的 L2TP”）使用 Kerberos 机器认证。

IPsec：使用密码、双因子令牌进行用户认证，使用共享密钥和证书进行机器认证

如果你所在的组织支持这些协议，则无需额外的网络配置或第三方 App 即可将 Apple 设备接入虚拟专用网络。

支持包括 IPv6、代理服务器和分割隧道等技术。接入组织网络时，分割隧道提供了灵活的 VPN 体验。

此外，网络扩展框架允许第三方开发者为 iOS、iPadOS、macOS、Apple tvOS 和 visionOS 创建自定义 VPN 解决方案。某些 VPN 提供商创建了专门的 App 来帮助配置 Apple 设备，以便与他们的解决方案结合使用。要配置设备以使用特定的解决方案，可安装供应商的配套 App，也可以选择提供包含必要设置的配置描述文件。

在 iOS、iPadOS、macOS 和 Apple tvOS 中，“请求 VPN 域”可使 Apple 设备在需要时自动建立连接。它要求与用户交互无关的认证方法，例如基于证书的认证。“请求 VPN 域”通过配置描述文件的 VPN 有效负载中的 OnDemandRules 键配置。系统分两个阶段应用规则：

网络检测阶段：定义当设备的主要网络连接发生更改时适用的 VPN 要求。

连接计算阶段：定义根据需要向域名发起连接请求时的 VPN 要求。

规则可以用来执行以下操作：

识别因 Apple 设备接入内部网络而不需要 VPN 的情况

识别因使用未知无线局域网而需要 VPN 的情况

在针对指定域名的 DNS 请求失败后启动 VPN

在 iOS、iPadOS、macOS、watchOS 和 visionOS 1.1 中，VPN 连接可以基于每个 App 建立，从而可以更精确地控制哪些数据可以通过 VPN 进行传输。这种在 App 级别分离流量的功能可允许将个人数据与组织数据分割，为内部使用的 App 提供安全网络，同时保护个人设备活动的隐私。

通过“为 App 单独设置 VPN”，可使每个由移动设备管理 (MDM) 解决方案管理的 App 使用安全隧道与专用网络通信，同时禁止未受管理的 App 使用专用网络。对于受管理的 App，可以配置不同的 VPN 连接以进一步保护数据安全。例如，销售报价 App 可能使用完全不同于应付账款 App 的数据中心。

为任意 VPN 配置创建“为 App 单独设置 VPN”后，你需要将该连接与使用该连接的 App 进行关联，以确保这些 App 的网络流量的安全性。在 macOS 中，通过“为 App 单独设置 VPN”映射有效负载来实现，或者在 iOS、iPadOS、macOS、visionOS 1.1 中，在 App 安装命令内指定 VPN 配置。

“为 App 单独设置 VPN”可配置为配合 iOS、iPadOS、watchOS 和 visionOS 1.1 中的内建 IKEv2 VPN 客户端使用。有关自定义 VPN 解决方案中“为 App 单独设置 VPN”支持的信息，请联系你的 VPN 供应商。

【注】若要在 iOS、iPadOS、watchOS 10 和 visionOS 1.1 中使用“为 App 单独设置 VPN”，App 必须由 MDM 管理。

适用于 IKEv2 的“始终打开 VPN”可让你的组织将所有 IP 流量通过隧道返回到组织，从而让组织完全控制 iOS 和 iPadOS 流量。你的组织现在可以监控和过滤经由设备的流量、保护网络内的数据安全并限制设备访问互联网。

“始终打开 VPN”激活需要设备监督。“始终打开 VPN”描述文件安装到设备上后，“始终打开 VPN”将自动激活，无需任何用户交互，并且会保持激活状态（包括在重新启动过程中），除非卸载“始终打开 VPN”描述文件。

设备上的“始终打开 VPN”处于激活状态时，VPN 隧道的初启和清除与接口 IP 状态有关。当接口可访问 IP 网络后，则会尝试建立隧道。当接口 IP 状态不可用时，隧道会清除。

“始终打开 VPN”也支持每个接口隧道。对于接入蜂窝网络的设备，每个活跃的 IP 接口都有一个隧道（蜂窝网络接口和无线局域网接口各有一个隧道）。只要 VPN 隧道可用，所有的 IP 流量均会经过隧道。流量包括所有 IP 路由流量和所有 IP 范围流量（来自于第一方 App 如 FaceTime 通话和“信息”的流量）。如果隧道不可用，则会丢弃所有 IP 流量。

设备的所有隧道流量会经过 VPN 服务器。你可以先应用可选过滤和监视处理，然后将流量转移到组织网络或互联网中的目的位置。同样地，可以将设备流量发送到组织的 VPN 服务器，而过滤和监视进程可能会在转移到设备前进行应用。

【注】“始终打开 VPN”不支持 Apple Watch 配对。

透明代理是 macOS 上的一种特殊 VPN 类型，可通过多种方式用于监控和转换网络流量。常见用例是内容过滤解决方案和用于访问云服务的代理。由于用途各异，建议你定义这些代理查看和处理流量的顺序。例如，你想要在调用加密流量的代理之前调用过滤网络流量的代理。你可以通过在 VPN 有效负载中定义顺序来实现。