À propos de VPN Always On

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10+

Always On VPN vous permet de :

• Créez des scénarios avancés en intégrant des systèmes d’exploitation Windows et des solutions tierces. Pour obtenir la liste des intégrations prises en charge, consultez Intégrations prises en charge.

• Maintenir la sécurité réseau, en limitant la connexion par les types de trafic, les applications et les méthodes d’authentification. Pour obtenir la liste des fonctionnalités de sécurité VPN Always On, consultez Fonctionnalités de sécurité.

• Configurez le déclenchement automatique pour les connexions authentifiées par l’utilisateur et l’appareil. Pour plus d’informations, consultez Fonctionnalités de connectivité.

• Contrôlez votre réseau en créant des stratégies de routage à un niveau granulaire ; même jusqu’à l’application individuelle. Pour plus d’informations, consultez Fonctionnalités de mise en réseau.

• Configurez vos paramètres VPN avec un profil XML standard (ProfileXML) qui est défini par un modèle de configuration standard du secteur. Vous pouvez déployer et gérer vos paramètres VPN avec Windows PowerShell, Microsoft Endpoint Configuration Manager, Intune, le Concepteur de configuration Windows ou n’importe quel outil de gestion des appareils mobiles (MDM) tiers.

Intégrations prises en charge

Always On VPN supporte les appareils reliés à un domaine, non reliés à un domaine (groupe de travail) ou reliés à Microsoft Entra ID pour permettre des scénarios d'entreprise et BYOD. Always On VPN est disponible dans toutes les éditions de Windows, et les fonctionnalités de la plateforme sont disponibles pour des tiers via la prise en charge du plug-in VPN UWP.

Always On VPN prend en charge l’intégration aux plateformes suivantes :

• Protection des informations Windows (WIP). L’intégration à la WIP permet d’appliquer une stratégie réseau pour déterminer si le trafic est autorisé à passer par le VPN. Si le profil utilisateur est actif et que des stratégies WIP sont appliquées, Always On VPN est automatiquement déclenché pour se connecter. En outre, lorsque vous utilisez la WIP, il n’est pas nécessaire de spécifier les règles AppTriggerList et TrafficFilterList séparément dans le profil VPN (sauf si vous souhaitez une configuration plus avancée), car les stratégies et listes d’applications WIP prennent automatiquement effet.

• Windows Hello Entreprise. Always On VPN prend en charge les Windows Hello Entreprise en mode d’authentification basé sur les certificats en mode natif. La prise en charge native Windows Hello offre une expérience d’authentification unique transparente pour la connexion à l’ordinateur et la connexion au VPN. Aucune authentification secondaire (informations d’identification utilisateur) n’est nécessaire pour la connexion VPN.

• Plateforme d'accès conditionnel Microsoft Azure. Le client Always On VPN peut s’intégrer à la plateforme d’accès conditionnel Azure pour appliquer l’authentification multifacteur (MFA), la conformité des appareils ou une combinaison des deux. Lorsqu'il est conforme aux stratégies d'accès conditionnel, Microsoft Entra ID émet un certificat d'authentification IP Security (IPsec) de courte durée (par défaut, soixante minutes). Le certificat IPSec peut ensuite être utilisé pour s’authentifier auprès de la passerelle VPN. La conformité des appareils est permise par l’application des stratégies de conformité du Gestionnaire de configurations ou d’Intune, qui peuvent inclure l’état de l’attestation d’intégrité de l’appareil dans le cadre de la vérification de conformité de la connexion. Pour plus d’informations, consultez VPN et accès conditionnel

• Plateforme d'authentification multifactorielle Microsoft Entra. Lorsqu'elle est associée aux services RADIUS (Remote Authentication Dial-In User Service) et à l'extension NPS (Network Policy Server) pour l'authentification multifactorielle de Microsoft Entra, l'authentification VPN peut utiliser une MFA forte.

• Plug-ins VPN tiers. Avec la plateforme Windows universelle (UWP), les fournisseurs VPN tiers peuvent créer une seule application pour l’ensemble des appareils Windows. La plateforme UWP fournit une couche d’API de base garantie sur tous les appareils, éliminant ainsi la complexité et les problèmes souvent associés à l’écriture de pilotes au niveau du noyau. Il existe actuellement des plug-ins VPN Windows UWP pour Pulse Secure, F5 Access, Check Point Capsule VPN, FortiClient, SonicWall Mobile Connect et GlobalProtect.

Fonctionnalités de sécurité

Always On VPN fournit une connectivité aux ressources d’entreprise à l’aide de stratégies de tunnel qui nécessitent une authentification et un chiffrement jusqu’à ce qu’elles atteignent la passerelle VPN. Par défaut, les sessions de tunnel se terminent au niveau de la passerelle VPN, qui fonctionne également en tant que passerelle IKEv2, ce qui fournit une sécurité de bout-à-bord.

Pour plus d’informations sur les options d’authentification VPN standard, consultez Options d’authentification VPN.

Always On VPN prend en charge les fonctionnalités de sécurité suivantes :

• Prise en charge du protocole VPN IKEv2 standard. Le client Always On VPN prend en charge IKEv2, qui est l’un des protocoles de tunneling standard les plus utilisés aujourd’hui. Cette compatibilité optimise l’interopérabilité avec les passerelles VPN tierces.

• Interopérabilité avec les passerelles VPN IKEv2 tierces. Le client VPN Always On prend en charge l’interopérabilité avec les passerelles VPN IKEv2 tierces. Vous pouvez également obtenir une interopérabilité avec des passerelles VPN tierces en utilisant un plug-in VPN UWP combiné à un type de tunneling personnalisé, sans devoir faire une croix sur les fonctionnalités et les avantages de la plateforme Always On VPN.

  Notes

  Consultez votre fournisseur de passerelles ou d’appliances back-end tierces à propos des configurations et de la compatibilité avec Always On VPN et le tunnel d’appareil avec IKEv2.

• Revenez à SSTP à partir d’IKEv2. Vous pouvez configurer la secours pour les clients qui se trouvent derrière des pare-feu ou des serveurs proxy à l’aide du type de tunnel/protocole automatique dans le profil VPN.

  Notes

  Le tunnel d’utilisateur prend en charge SSTP et IKEv2, et le tunnel d’appareil prend en charge IKEv2 uniquement sans prise en charge du repli vers le protocole SSTP.

• Prise en charge de l’authentification par certificat d’ordinateur. Le type de protocole IKEv2 disponible dans le cadre de la plateforme Always On VPN prend spécifiquement en charge l’utilisation de certificats d’ordinateur pour l’authentification VPN.

  Notes

  IKEv2 est le seul protocole pris en charge pour le tunnel d’appareil et il n’existe aucune option de prise en charge du repli vers le protocole SSTP. Pour plus d’informations, consultez Configurer un tunnel d’appareil VPN Always On.

• Filtres de trafic et d’application. Avec les règles de trafic et de pare-feu d’application, vous pouvez spécifier des stratégies côté client qui déterminent le trafic et les applications autorisés à se connecter à l’interface VPN.

  Deux types de règles de filtrage sont disponibles :

  • Règles basées sur l’application. Les règles de pare-feu basées sur les applications utilisent une liste d’applications spécifiées afin que seul le trafic provenant de ces applications soit autorisé à passer par l’interface VPN.

  • Règles basées sur le trafic. Les règles de pare-feu basées sur le trafic s’appuient sur les exigences réseau telles que les ports, les adresses et les protocoles. Utilisez ces règles si vous souhaitez que seul le trafic qui répond à ces conditions soit autorisé à passer par l’interface VPN.

  Notes

  Ces règles s’appliquent uniquement au trafic sortant de l’appareil. L’utilisation de filtres de trafic bloque le trafic entrant entre le réseau d’entreprise et le client.

• Accès VPN conditionnel. L’accès conditionnel et la conformité des appareils peuvent exiger que les appareils gérés répondent aux normes avant de pouvoir se connecter au VPN. L'accès conditionnel VPN vous permet de restreindre les connexions VPN aux appareils dont le certificat d'authentification client contient l'OID d'accès conditionnel Microsoft Entra de 1.3.6.1.4.1.311.87. Pour savoir comment restreindre les connexions VPN directement sur le serveur NPS, consultez Configurer l’accès conditionnel VPN sur le serveur de stratégie réseau. Pour savoir comment restreindre les connexions VPN avec Microsoft Entra Conditional Access, voir Accès conditionnel pour la connectivité VPN à l'aide de Microsoft Entra ID.

• Limitez l’accès à distance à des utilisateurs et des appareils spécifiques. Vous pouvez configurer Always On VPN afin qu’il prenne en charge l’autorisation granulaire lors de l’utilisation de RADIUS, ce qui inclut le contrôle de l’accès VPN à l’aide de groupes de sécurité.

• Définissez des serveurs d’administration accessibles avant la connexion de l’utilisateur. Utilisez la fonctionnalité Tunnel d’appareil (disponible dans la version 1709, pour IKEv2 uniquement) dans le profil VPN, associée à des filtres de trafic pour contrôler les systèmes de gestion qui sont accessibles sur le réseau d’entreprise via le tunnel d’appareil.

  Notes

  Si vous activez les filtres de trafic dans le profil de Tunnel d’appareil, le tunnel d’appareil refuse le trafic entrant (du réseau d’entreprise au client).

• VPN par application. Le VPN par application est similaire à un filtre de trafic basé sur l’application. Toutefois, il va plus loin en combinant des déclencheurs d’application avec un filtre de trafic basé sur l’application, afin que la connectivité VPN soit limitée à une application spécifique, contrairement au client VPN qui restreint toutes les applications. La fonctionnalité démarre automatiquement au démarrage de l’application.

• Algorithmes de chiffrement IPsec personnalisés. Always On VPN prend en charge l’utilisation d’algorithmes de chiffrement personnalisés basés sur le chiffrement RSA et sur la courbe elliptique afin de répondre aux stratégies de sécurité strictes du gouvernement ou de l’organisation.

• Prise en charge des paramètres EAP natifs. Always On VPN prend en charge nativement le protocole EAP en mode natif, ce qui permet d’utiliser divers types de protocoles EAP Microsoft et tiers dans le cadre du workflow d’authentification. L’EAP fournit une authentification sécurisée basée sur les types d’authentification suivants :

  • Nom d’utilisateur et mot de passe
  • Carte à puce (physique et virtuelle)
  • Certificats d’utilisateur
  • Windows Hello Entreprise
  • Prise en charge de l’authentification multifacteur via l’intégration EAP RADIUS

  Le fournisseur de l’application contrôle les méthodes d’authentification des plug-in VPN UWP tiers, bien qu’il dispose d’un large éventail d’options, notamment les types d’informations d’identification personnalisés et la prise en charge OTP.

• Authentification à 2 facteurs Windows Hello pour les entreprises sur les PC et les appareils mobiles. Dans Windows 10, Windows Hello pour les entreprises remplace les mots de passe en fournissant une authentification à deux facteurs forte sur les PC et appareils mobiles. Pour plus d’informations, voir Activation de l’accès à distance avec Windows Hello Entreprise dans Windows 10

• Authentification multifacteur Azure (MFA). L'authentification multifactorielle Microsoft Entra dispose de versions cloud et locales que vous pouvez intégrer au mécanisme d'authentification VPN Windows. Pour plus d’informations, consultez Intégration de l'authentification RADIUS avec le serveur Azure Multi-Factor Authentication.

• Attestation clé de module de plateforme sécurisée (TPM). Un certificat utilisateur qui a une clé attestée par le module de plateforme sécurisée (TPM) fournit une garantie de sécurité plus élevée, sauvegardée par la non-exportation, l’anti-hammering et l’isolation des clés fournies par le module de plateforme sécurisée (TPM).

Pour plus d’informations sur l’attestation de clé TPM dans Windows 10, consultez Attestation de clé TPM.

Caractéristiques de la connectivité

Always On VPN prend en charge les fonctionnalités de sécurité suivantes :

• Déclenchement automatique de l’application. Vous pouvez configurer la fonction Always On VPN pour qu’elle s’active automatiquement en fonction des requêtes de lancement d’application ou de résolution d’espace de noms. Pour plus d’informations sur la configuration du déclenchement automatique, consultez Options de profil à déclenchement automatique VPN.

• Déclenchement automatique basé sur le nom. Avec Always On VPN, vous pouvez définir des règles pour que des requêtes de nom de domaine spécifiques déclenchent la connexion VPN. Les appareils Windows prennent en charge le déclenchement basé sur le nom pour les machines jointes et non jointes à un domaine (auparavant, seules les machines non jointes à un domaine étaient prises en charge).

• Détection des réseaux approuvés. Always On VPN inclut cette fonctionnalité pour garantir que la connectivité VPN ne sera pas déclenchée si un utilisateur est connecté à un réseau approuvé dans les limites de l’entreprise. Vous pouvez combiner cette fonctionnalité avec l’une des méthodes de déclenchement mentionnées précédemment afin de fournir une expérience utilisateur fluide de type « uniquement en cas de besoin ».

• Tunnel d’appareil. Always On VPN vous permet de créer un profil VPN dédié pour un appareil ou une machine. Contrairement au tunnel d’utilisateur, qui se connecte uniquement après la connexion d’un utilisateur à l’appareil ou à la machine, le tunnel d’appareil permet au VPN d’établir une connectivité avant que l’utilisateur ne se connecte. Le tunnel d’appareil et le tunnel d’utilisateur fonctionnent indépendamment avec leurs profils VPN, peuvent être connectés en même temps et peuvent utiliser différentes méthodes d’authentification et d’autres paramètres de configuration VPN, le cas échéant. Pour plus d’informations sur la configuration d’un tunnel d’appareil, notamment sur l’utilisation de la gestion pour inscrire dynamiquement des adresses IP clientes dans DNS, consultez Configurer un tunnel d’appareil VPN Always On.

  Notes

  Le tunnel d’appareil ne peut être configuré que sur les appareils joints à un domaine exécutant Windows 10 Entreprise ou Éducation version 1709 ou ultérieure. Il n’existe aucune prise en charge du contrôle du tunnel d’appareil par un tiers.

• Assistant de connectivité Always On VPN est entièrement intégré à l’Assistant Connectivité réseau natif et fournit l’état de connectivité à partir de l’interface Afficher tous les réseaux. Avec l’avènement de Windows 10 Creators Update (version 1703), l’état de la connexion VPN et le contrôle de connexion VPN pour le tunnel d’utilisateur sont disponibles via le menu volant Réseau (pour le client VPN intégré à Windows).

Fonctionnalités réseau

Always On VPN prend en charge les fonctionnalités réseau suivantes :

• Prise en charge de la double pile pour IPv4 et IPv6. Always On VPN prend en charge nativement l’utilisation d’IPv4 et d’IPv6 dans une approche à double pile. Il n’y a pas plus de dépendance à un protocole qu’à l’autre, ce qui permet une compatibilité maximale des applications IPv4/IPv6 combinée à la prise en charge des besoins futurs en réseau IPv6.

• Stratégies de routage propres à l’application. En plus de définir des stratégies de routage de connexion VPN globales pour séparer le trafic Internet du trafic intranet, il est possible d’ajouter des stratégies de routage pour contrôler l’utilisation du tunnel partagé ou forcer des configurations de tunnel par application. Cette option vous donne un contrôle plus précis sur les applications qui sont autorisées à interagir avec les ressources via le tunnel VPN.

• Routes d’exclusion. Always On VPN permet de spécifier des routes d’exclusion qui contrôlent précisément le comportement de routage afin de définir quel trafic doit uniquement traverser le VPN et ne pas passer par l’interface réseau physique.

  Notes

  Les routes d’exclusion fonctionnent pour le trafic situé à l’intérieur du même sous-réseau que le client, par exemple LinkLocal. Les routes d’exclusion fonctionnent uniquement dans une configuration de tunnel partagé.

• Prise en charge de plusieurs domaines et forêts. La plateforme Always On VPN n’a aucune dépendance vis-à-vis de la topologie du domaine ou des forêts Active Directory Domain Services (AD DS) (ni des niveaux fonctionnels/de schémas associés), car elle ne nécessite pas que le client VPN soit joint à un domaine pour fonctionner. La stratégie de groupe n’est donc pas une dépendance pour définir les paramètres de profil VPN, car vous ne l’utilisez pas lors de la configuration du client. Lorsque l’intégration de l’autorisation Active Directory est requise, vous pouvez l’obtenir via RADIUS dans le cadre du processus d’authentification et d’autorisation EAP.

• Résolution des noms des ressources de l'entreprise à l'aide d'un nom court, d'un nom de domaine complet (FQDN) et d'un suffixe DNS Always On VPN peut définir en mode natif un ou plusieurs suffixes DNS dans le cadre du processus de connexion VPN et d’attribution d’adresses IP, y compris la résolution de noms de ressource d’entreprise pour les noms courts, les noms de domaine complets ou les espaces de noms DNS entiers. Always On VPN prend également en charge l’utilisation de tables de stratégie de résolution de noms pour fournir une granularité de résolution propre à l’espace de noms.

  Notes

  Évitez d’utiliser des suffixes globaux, car ils interfèrent avec la résolution des noms courts lors de l’utilisation des tables de stratégie de résolution de noms.

Fonctionnalités de haute disponibilité

Voici d’autres options pour la haute disponibilité.

Résilience des serveurs et équilibrage de charge. Dans les environnements qui nécessitent une haute disponibilité ou prennent en charge un grand nombre de demandes, vous pouvez augmenter les performances et la résilience de l’accès à distance en configurant l’équilibrage de charge entre les serveurs de stratégie réseau (NPS) et en activant les clustering serveurs d’accès à distance.

Résilience géographique des sites. Pour la géolocalisation basée sur IP, vous pouvez utiliser Global Traffic Manager avec DNS dans Windows Server. Pour un équilibrage de charge géographique plus robuste, vous pouvez utiliser des solutions d’équilibrage de charge de serveur global, telles que Microsoft Azure Traffic Manager.

Étapes suivantes

• Installer l’accès à distance en tant que serveur VPN

• Tutoriel : Déployer un VPN Always On

• Fonctionnalités de sécurité VPN : cette rubrique fournit une vue d’ensemble des instructions de sécurité VPN pour le VPN de verrouillage, l’intégration de Windows Information Protection (WIP) avec VPN et les filtres de trafic.

• Options de profil à déclenchement automatique VPN : cette rubrique fournit une vue d’ensemble des options de profil à déclenchement automatique VPN, telles que le déclencheur d’application, le déclencheur basé sur le nom et Always On.

• Résoudre les problèmes liés au VPN Toujours actif (AlwaysOn)