Planifier la migration de DirectAccess vers Always On VPN
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10
« Précédent : aperçu de la migration de DirectAccess à Always On VPN
» Suivant :Migrer vers Always On VPN et désactiver DirectAccess
La migration de DirectAccess vers Always On VPN nécessite une planification appropriée pour déterminer vos phases de migration, ce qui permet d’identifier les problèmes avant qu’ils n’affectent l’ensemble de l’organisation. L’objectif principal de la migration est que les utilisateurs conservent la connectivité à distance au bureau tout au long du processus. Si vous effectuez les tâches dans le désordre, une condition de concurrence peut se produire, ce qui empêche les utilisateurs distants d’accéder aux ressources de l’entreprise. Par conséquent, Microsoft recommande d’effectuer une migration planifiée côte à côte de DirectAccess vers Always On VPN. Pour plus d’informations, consultez Déploiement de la migration VPN Always On.
La section décrit les avantages que présente la séparation des utilisateurs pour la migration, les considérations relatives à la configuration standard et les améliorations des fonctionnalités Always On VPN. La phase de planification de la migration comprend :
Créez des boucles de migration. Comme dans la plupart des autres migrations système, ciblez les migrations des clients par phases pour vous aider à identifier les problèmes avant qu’ils n’affectent l’ensemble de l’organisation. La première partie de la migration Always On VPN n’est pas différente.
Découvrez la comparaison des fonctionnalités d’Always On VPN et de DirectAccess. À l’instar de DirectAccess, Always On VPN offre de nombreuses options de sécurité, de connectivité, d’authentification et autres.
Découvrez les améliorations de fonctionnalités d’Always On VPN. Découvrez les fonctionnalités nouvelles ou améliorées qu’Always On VPN propose pour améliorer votre configuration.
Découvrez la technologie Always On VPN. Pour ce déploiement, vous devez installer un nouveau serveur d’accès à distance qui exécute Windows Server 2016 et modifier une partie de votre infrastructure existante pour le déploiement.
Créer des boucles de migration
Les boucles de migration permettent de diviser l’effort de migration du client Always On VPN en plusieurs phases. Quand vous atteignez la dernière phase, votre processus doit être bien testé et cohérent.
Cette section fournit une approche permettant de séparer les utilisateurs en différentes phases de migration, puis de gérer ces phases. Quelle que soit la méthode de séparation des utilisateurs en différentes phases que vous choisissez, conservez un seul groupe d’utilisateurs VPN pour faciliter la gestion quand la migration est effectuée.
Notes
Le terme phase n’implique pas qu’il s’agit d’un processus long. Que chaque phase dure quelques jours ou quelques mois, Microsoft vous recommande de tirer parti de la migration côte à côte et d’adopter une approche progressive.
Avantages de la division de l’effort de migration en plusieurs phases
Protection contre les interruptions de masse. En divisant une migration en plusieurs phases, le nombre de personnes affectées par un problème lié à la migration est beaucoup plus faible.
Amélioration du processus ou de la communication à partir des commentaires. Dans l’idéal, les utilisateurs n’ont même pas remarqué que la migration a été effectuée. Toutefois, si leur expérience n’a pas été optimale, les commentaires de ces utilisateurs vous permettent d’améliorer votre planification et d’éviter des problèmes à l’avenir.
Conseils pour la création de votre boucle de migration
Identifiez les utilisateurs distants. Commencez par diviser les utilisateurs en deux compartiments : ceux qui sont souvent présents au bureau et les autres. Le processus de migration est similaire pour les deux groupes. Toutefois, il est probable que les clients distants reçoivent la mise à jour plus tard que les utilisateurs qui se connectent plus fréquemment. Dans l’idéal, chaque phase de migration doit inclure des membres de chaque compartiment.
Classer les utilisateurs par ordre de priorité. La direction et les autres utilisateurs à impact élevé font généralement partie des derniers utilisateurs migrés. Toutefois, quand vous classez les utilisateurs par ordre de priorité, tenez compte de leur impact sur la productivité de l’entreprise en cas d’échec de la migration de leur ordinateur client. Si vous deviez attribuer une note d’évaluation de 1 à 3, 1 signifiant que l’employé n’est pas en mesure de travailler et 3 signifiant qu’il n’existe aucune interruption de travail immédiate, un analyste d’entreprise qui utilise uniquement des applications de cœur de métier internes à distance obtiendrait la note 1, tandis qu’un vendeur utilisant une application cloud obtiendrait la note 3.
Migrez chaque département ou unité commerciale en plusieurs phases. Microsoft recommande vivement de ne pas effectuer la migration d’un service entier simultanément. En cas de problème, celui-ci ne doit pas empêcher le travail à distance pour l’ensemble du département. Au lieu de cela, effectuez la migration de chaque département ou unité commerciale en procédant à au moins deux phases.
Augmentez progressivement le nombre d’utilisateurs. La plupart des scénarios de migration classiques commencent par des membres de l’organisation informatique. On passe ensuite aux utilisateurs professionnels, puis à la direction et aux autres utilisateurs à impact élevé. Chaque phase de migration implique généralement un nombre croissant de personnes. Par exemple, la première phase peut inclure dix utilisateurs, et le dernier groupe 5 000 utilisateurs. Pour simplifier le déploiement, créez un seul groupe de sécurité pour les utilisateurs VPN et ajoutez-y les utilisateurs au fur et à mesure que leur phase arrive. Ainsi, vous disposez d’un groupe d’utilisateurs VPN auquel vous pouvez ajouter des membres à l’avenir.
Considérations relatives à la configuration standard
Always On VPN dispose de nombreuses options de configuration standard. Toutefois, il est essentiel d’inclure les informations suivantes lors de la création de votre configuration VPN :
Type de connexion Les réseaux privés virtuels (VPN) sont des connexions point à point sur un réseau privé ou public, comme Internet. Un client VPN utilise des protocoles TCP/IP ou UDP, appelés protocoles de tunneling, pour se connecter à un serveur VPN. Le type de connexion détermine également le type d’authentification que vous allez utiliser. Pour plus d’informations sur les protocoles de tunneling disponibles, consultez Types de connexions VPN.
Routage. Dans ce contexte, les règles d’acheminement déterminent si les utilisateurs peuvent utiliser d’autres itinéraires réseau quand ils sont connectés au VPN.
Déclenchement. Le déclenchement détermine comment et quand une connexion VPN est lancée (par exemple, lorsqu’une application s’ouvre, lorsque l’appareil est activé, manuellement par l’utilisateur). Pour les options de déclenchement, consultez les Options de profil déclenché automatiquement par VPN.
Authentification des appareils ou des utilisateurs. Always On VPN utilise des certificats d’appareil et une connexion initiée par l’appareil via une fonctionnalité appelée Tunnel d’appareil. Un tunnel d’appareil peut être lancé automatiquement . Il est persistant et ressemble à une connexion de tunnel d’infrastructure DirectAccess.
Conseil
Lors de la migration de DirectAccess vers Always On VPN, envisagez de commencer par des options de configuration comparables à celles dont vous disposez, puis étendez-les.
En utilisant des certificats utilisateur, le client VPN Always On se connecte automatiquement, mais cette opération s’effectue au niveau de l’utilisateur (après la connexion de l’utilisateur) plutôt qu’au niveau de l’appareil (avant la connexion de l’utilisateur). L’expérience reste fluide pour l’utilisateur, mais elle prend en charge des mécanismes d’authentification plus avancés, comme Windows Hello Entreprise.
Étape suivante
| Pour... | Consultez ensuite... |
|---|---|
| Commencer la migration vers le réseau Always On VPN | Migrer vers Always On VPN et désactiver DirectAccess. La migration de DirectAccess vers Always On VPN nécessite un processus spécifique pour migrer les clients, ce qui permet de minimiser les conditions de concurrence résultant de l’exécution d’étapes de migration dans le désordre. |
| En savoir plus sur les fonctionnalités du réseau Always On VPN et de DirectAccess | Comparaison des fonctionnalités de Always On VPN et de DirectAccess. Dans les versions précédentes de l’architecture VPN Windows, les limitations de la plateforme rendaient difficile la fourniture des fonctionnalités critiques nécessaires pour remplacer DirectAccess (comme les connexions automatiques lancées avant la connexion des utilisateurs). Toutefois, Always On VPN a atténué la plupart de ces limitations ou étendu la fonctionnalité de VPN au-delà des fonctionnalités de DirectAccess. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour