Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A VPN Always On permite-lhe:
Crie cenários avançados integrando sistemas operacionais Windows e soluções de terceiros. Para obter uma lista de integrações suportadas, consulte Integrações suportadas.
Manter a segurança da rede, restringindo a conexão por tipos de tráfego, aplicativos e métodos de autenticação. Para obter uma lista dos recursos de segurança da VPN Always On, consulte Recursos de segurança.
Configure o acionamento automático para conexões autenticadas de utilizador e dispositivo. Para obter mais informações, consulte Recursos de conectividade.
Controle a sua rede criando políticas de encaminhamento a um nível granular; até ao nível de aplicações individuais. Para obter mais informações, consulte Recursos de rede.
Configure suas configurações de VPN com um perfil XML padrão (ProfileXML) que é definido por um modelo de configuração padrão do setor. Você pode implantar e gerenciar suas configurações de VPN com o Windows PowerShell, o Microsoft Endpoint Configuration Manager, o Intune, o Designer de Configuração do Windows ou qualquer ferramenta de gerenciamento de dispositivos móveis (MDM) de terceiros.
Integrações suportadas
A VPN Always On suporta dispositivos associados a domínios, não associados a domínios (grupo de trabalho) ou Microsoft Entra ID para permitir cenários empresariais e BYOD. O Always On VPN está disponível em todas as edições do Windows, e os recursos da plataforma estão disponíveis para terceiros por meio do suporte ao plug-in VPN UWP.
A VPN Always On suporta a integração com as seguintes plataformas:
Proteção de Informações do Windows (WIP). integração com WIP permite a aplicação de políticas de rede para determinar se o tráfego tem permissão para passar pela VPN. Se o perfil de usuário estiver ativo e as políticas WIP forem aplicadas, a VPN Always On será automaticamente acionada para se conectar. Além disso, quando você usa WIP, não há necessidade de especificar regras de
AppTriggerListeTrafficFilterListseparadamente no perfil VPN (a menos que você queira uma configuração mais avançada) porque as políticas WIP e as listas de aplicativos entram em vigor automaticamente.Windows Hello para Empresas. VPN Always On suporta nativamente o Windows Hello for Business no modo de autenticação baseada em certificado. O suporte nativo do Windows Hello fornece uma experiência de logon único perfeita para entrar na máquina e também para a conexão com a VPN. Nenhuma autenticação secundária (credenciais de usuário) é necessária para a conexão VPN.
plataforma de acesso condicional do Microsoft Azure. O cliente VPN Always On pode integrar-se com a plataforma de acesso condicional do Azure para impor a autenticação multifator (MFA), a conformidade do dispositivo ou uma combinação dos dois. Quando compatível com políticas de acesso condicional, o Microsoft Entra ID emite um certificado de autenticação de Segurança IP (IPsec) de curta duração (por padrão, sessenta minutos). O certificado IPSec pode ser usado para autenticar no gateway VPN. A conformidade do dispositivo utiliza políticas de conformidade do Configuration Manager/Intune, as quais podem incluir o estado de atestado de integridade do dispositivo como parte da verificação de conformidade da ligação. Para obter mais detalhes, consulte VPN e acesso condicional
plataforma de autenticação multifator Microsoft Entra. Quando combinada com os serviços RADIUS (Remote Authentication Dial-In User Service) e a extensão NPS (Servidor de Políticas de Rede) para autenticação multifator Microsoft Entra, a autenticação de VPN pode usar MFA robusta.
Plug-ins VPN de terceiros. Com a Plataforma Universal do Windows (UWP), provedores de VPN de terceiros podem criar um único aplicativo para toda a gama de dispositivos Windows. A UWP fornece uma camada de API central garantida entre dispositivos, eliminando a complexidade e os problemas frequentemente associados à escrita de drivers no nível do kernel. Atualmente, existem plug-ins VPN UWP do Windows para Pulse Secure, F5 Access, Check Point Capsule VPN, FortiClient, SonicWall Mobile Connecte GlobalProtect.
Elementos de segurança
A VPN Always On fornece conectividade a recursos corporativos usando políticas de túnel que exigem autenticação e criptografia até chegarem ao gateway VPN. Por padrão, as sessões de túnel terminam no gateway VPN, que também funciona como gateway IKEv2, fornecendo segurança de ponta a ponta.
Para obter detalhes sobre as opções de autenticação VPN padrão, consulte opções de autenticação VPN.
A VPN Always On suporta os seguintes recursos de segurança:
Suporte ao protocolo VPN IKEv2 padrão da indústria. O cliente VPN Always On suporta IKEv2, um dos protocolos de tunelamento padrão da indústria mais utilizados atualmente. Essa compatibilidade maximiza a interoperabilidade com gateways VPN de terceiros.
Interoperabilidade com gateways VPN IKEv2 de terceiros. O cliente VPN Always On suporta interoperabilidade com gateways VPN IKEv2 de terceiros. Você também pode conseguir interoperabilidade com gateways VPN de terceiros usando um plug-in VPN UWP combinado com um tipo de tunelamento personalizado, sem sacrificar os recursos e benefícios da plataforma Always On VPN.
Observação
Consulte o seu gateway ou fornecedor de aparelho back-end de terceiros sobre as configurações e compatibilidade com Always On VPN e o túnel de dispositivo usando IKEv2.
Reverter para SSTP a partir de IKEv2. Você pode configurar o mecanismo de contingência para clientes que se encontram atrás de firewalls ou servidores proxy, utilizando o tipo de túnel/protocolo automático dentro do perfil VPN.
Observação
O Túnel do Usuário suporta SSTP e IKEv2, e o Túnel de Dispositivo suporta apenas IKEv2, sem suporte para fallback SSTP.
Suporte para autenticação de certificado de máquina. O tipo de protocolo IKEv2 disponível como parte da plataforma VPN Always On suporta especificamente o uso de certificados de máquina ou computador para autenticação VPN.
Observação
O IKEv2 é o único protocolo suportado para o Device Tunnel e não há nenhuma opção de suporte para fallback SSTP. Para obter mais informações, consulte Configurar um túnel de dispositivo VPN Always On.
Tráfego e filtros de aplicações. Com regras de firewall de tráfego e aplicativo, você pode especificar políticas do lado do cliente que determinam qual tráfego e aplicativos têm permissão para se conectar à interface VPN.
Estão disponíveis dois tipos de regras de filtragem:
Regras baseadas em aplicativos. As regras de firewall baseadas em aplicativos são baseadas em uma lista de aplicativos especificados para que apenas o tráfego originado desses aplicativos tenha permissão para passar pela interface VPN.
Regras baseadas no trânsito. As regras de firewall baseadas em tráfego são baseadas em requisitos de rede, como portas, endereços e protocolos. Use essas regras apenas para tráfego que corresponda a essas condições específicas e tenha permissão para passar pela interface VPN.
Observação
Estas regras aplicam-se apenas ao tráfego de saída do dispositivo. O uso de filtros de tráfego bloqueia o tráfego de entrada da rede corporativa para o cliente.
Acesso VPN condicionado. O acesso condicional e a conformidade do dispositivo podem exigir que os dispositivos gerenciados atendam aos padrões antes de poderem se conectar à VPN. O acesso condicional de VPN permite que se restrinjam as conexões VPN aos dispositivos cujo certificado de autenticação de cliente contém o OID de Acesso Condicional do Microsoft Entra de
1.3.6.1.4.1.311.87. Para saber como restringir as conexões VPN diretamente no servidor NPS, consulte Configurar acesso condicional VPN no Servidor de Diretivas de Rede. Para saber como restringir as conexões VPN com Microsoft Entra Acesso Condicional, consulte Acesso Condicional para conectividade VPN usando o Microsoft Entra ID.Limite o acesso remoto a utilizadores e dispositivos específicos. Você pode configurar a VPN Always On para suportar autorização granular ao usar o RADIUS, que inclui o uso de grupos de segurança para controlar o acesso VPN.
Defina servidores de gestão acessíveis antes do início de sessão do utilizador. Use o recurso Device Tunnel (disponível na versão 1709 – apenas para IKEv2) no perfil VPN combinado com filtros de tráfego para controlar quais sistemas de gerenciamento na rede corporativa são acessíveis através do Device Tunnel.
Observação
Se você ativar os filtros de tráfego no perfil do túnel do dispositivo, o túnel do dispositivo negará o tráfego de entrada (da rede corporativa para o cliente).
VPN por aplicativo. VPN por aplicativo é como ter um filtro de tráfego baseado em aplicativo, mas vai mais longe ao combinar gatilhos de aplicativo com um filtro de tráfego baseado em aplicativo para que a conectividade VPN seja restrita a um aplicativo específico, em vez de todos os aplicativos no cliente VPN. O recurso é iniciado automaticamente quando o aplicativo é iniciado.
Algoritmos de criptografia IPsec personalizados. A VPN Always On suporta o uso de algoritmos criptográficos personalizados baseados em criptografia RSA e curva elíptica para atender a rigorosas políticas de segurança governamentais ou organizacionais.
Suporte nativo para o Protocolo de Autenticação Extensível (EAP). O Always On VPN suporta nativamente EAP, o que permite que você use um conjunto diversificado de tipos de EAP da Microsoft e de terceiros como parte do fluxo de trabalho de autenticação. O EAP fornece autenticação segura com base nos seguintes tipos de autenticação:
- Nome de utilizador e palavra-passe
- Cartão inteligente (físico e virtual)
- Certificados de utilizador
- Windows Hello para Empresas
- Suporte de MFA por meio da integração EAP RADIUS
O fornecedor do aplicativo controla métodos de autenticação de plug-in VPN UWP de terceiros, embora eles tenham uma matriz de opções disponíveis, incluindo tipos de credenciais personalizadas e suporte a OTP.
Autenticação de dois fatores do Windows Hello for Business em PCs e dispositivos móveis. No Windows 10, o Windows Hello for Business substitui as palavras-passe fornecendo autenticação forte de dois fatores em PCs e dispositivos móveis. Para obter mais informações, consulte Habilitando o acesso remoto com o Windows Hello for Business no Windows 10
Azure multifactor authentication (MFA). A autenticação multifator do Microsoft Entra tem versões na nuvem e no local que você pode integrar com o mecanismo de autenticação VPN do Windows. Para obter mais informações, consulte Integrar a autenticação RADIUS com o Servidor Azure Multi-Factor Authentication.
Atestado de chave do Trusted Platform Module (TPM). Um certificado de usuário que tenha uma chave atestada pelo TPM oferece maior garantia de segurança, apoiada pela não exportabilidade, antimartelo e isolamento de chaves fornecidos pelo TPM.
Para obter mais informações sobre o atestado de chave TPM no Windows 10, consulte Atestado de Chave TPM.
Recursos de conectividade
A VPN Always On suporta os seguintes recursos de conectividade:
Acionamento automático de aplicativos. Você pode configurar o Always On VPN para oferecer suporte ao acionamento automático com base na inicialização do aplicativo ou nas solicitações de resolução de namespace. Para obter mais informações sobre como configurar o acionamento automático, consulte opções de perfil acionado automaticamente por VPN.
Acionamento automático baseado em nome. Com a VPN Always On, você pode definir regras para que consultas de nomes de domínio específicos acionem a conexão VPN. Os dispositivos Windows oferecem suporte ao acionamento baseado em nome para máquinas ingressadas no domínio e para máquinas que não estão no domínio (anteriormente, apenas máquinas não ingressadas no domínio eram suportadas).
Deteção de rede confiável. A VPN Always On inclui esse recurso para garantir que a conectividade VPN não seja acionada se um usuário estiver conectado a uma rede confiável dentro do limite corporativo. Você pode combinar esse recurso com qualquer um dos métodos de acionamento mencionados anteriormente para fornecer uma experiência de usuário perfeita "conecte-se apenas quando necessário".
Túnel de Dispositivo. A VPN Always On dá-lhe a capacidade de criar um perfil VPN dedicado para um dispositivo ou máquina. Ao contrário do túnel de utilizador , que só se conecta depois que um utilizador inicia sessão no dispositivo ou máquina, Túnel de dispositivo permite que a VPN estabeleça conectividade antes do início de sessão do utilizador. Tanto o Túnel de Dispositivo quanto o Túnel de Usuário operam de forma independente com seus perfis VPN, podem ser conectados ao mesmo tempo e podem usar diferentes métodos de autenticação e outras definições de configuração de VPN, conforme apropriado. Para obter informações sobre como configurar um túnel de dispositivo, incluindo informações sobre como usar o manage-out para registrar dinamicamente endereços IP do cliente no DNS, consulte Configurar um túnel de dispositivo VPN Always On.
Observação
O Túnel de Dispositivo só pode ser configurado em dispositivos associados ao domínio que executam o Windows 10 Enterprise ou Education versão 1709 ou posterior. Não há suporte para o controlo de terceiros do Túnel de Dispositivo.
Assistente de Conectividade VPN Always On é totalmente integrado com o Assistente de Conectividade de Rede nativo e fornece status de conectividade a partir da interface Ver Todas as Redes. Com o advento do Windows 10 Creators Update (versão 1703), o estado da conexão VPN e o controlo do túnel de utilizador estão disponíveis através do menu flutuante de Rede (para o cliente VPN incorporado do Windows).
Recursos de rede
A VPN Always On suporta os seguintes recursos de rede:
Suporte dual-stack para IPv4 e IPv6. Always On VPN suporta nativamente o uso de IPv4 e IPv6 numa abordagem de pilha dupla. Ele não tem nenhuma dependência específica de um protocolo sobre o outro, o que permite a máxima compatibilidade de aplicativos IPv4/IPv6 combinada com suporte para futuras necessidades de rede IPv6.
Políticas de roteamento específicas do aplicativo. Além de definir políticas de roteamento de conexão VPN global para separação de tráfego de Internet e intranet, é possível adicionar políticas de roteamento para controlar o uso de configurações de túnel dividido ou túnel de força por aplicativo. Essa opção oferece um controle mais granular sobre quais aplicativos podem interagir com quais recursos por meio do túnel VPN.
Vias de exclusão. A VPN Always On suporta a capacidade de especificar rotas de exclusão que controlam especificamente o comportamento de roteamento para definir qual tráfego deve atravessar apenas a VPN e não passar pela interface de rede física.
Observação
As rotas de exclusão funcionam para o tráfego dentro da mesma sub-rede que o cliente, como LinkLocal. As rotas de exclusão só funcionam em uma configuração de túnel dividido.
Suporte para vários domínios e florestas. A plataforma VPN Always On não depende de florestas dos Serviços de Domínio Active Directory (AD DS) ou da topologia de domínio (ou níveis funcionais/de esquema associados) porque não é necessário que o cliente VPN esteja associado ao domínio para funcionar. Portanto, a Diretiva de Grupo não é uma dependência para definir configurações de perfil VPN porque você não a usa durante a configuração do cliente. Quando a integração de autorização do Ative Directory é necessária, você pode obtê-la por meio do RADIUS como parte do processo de autenticação e autorização EAP.
Resolução de nomes de recursos corporativos usando nome curto, nome de domínio totalmente qualificado (FQDN) e sufixo DNS. A VPN Always On pode definir nativamente um ou mais sufixos DNS como parte do processo de atribuição de conexão VPN e endereço IP, incluindo resolução de nome de recurso corporativo para nomes curtos, FQDNs ou namespaces DNS inteiros. O Always On VPN também suporta o uso de Tabelas de Políticas de Resolução de Nomes para fornecer granularidade de resolução específica de espaços de nomes.
Observação
Evite o uso de Sufixos Globais, pois eles interferem na resolução de nomes curtos ao usar tabelas de Política de Resolução de Nomes.
Recursos de alta disponibilidade
A seguir estão mais opções para alta disponibilidade.
Resiliência do servidor e balanceamento de carga. Em ambientes que exigem alta disponibilidade ou suportam um grande número de solicitações, você pode aumentar o desempenho e a resiliência do Acesso Remoto configurando balanceamento de carga entre os NPS (Servidores de Diretivas de Rede) e habilitando o clustering de servidores de Acesso Remoto.
Resiliência do sítio geográfico. Para geolocalização baseada em IP, você pode usar o Gerenciador de Tráfego Global com DNS no Windows Server. Para um balanceamento de carga geográfica mais robusto, você pode usar soluções de Balanceamento de Carga Global Server, como Microsoft Azure Traffic Manager.
Processo de conexão Always On VPN
O processo é composto pelas seguintes etapas:
O cliente VPN do Windows usa um servidor DNS público para executar uma consulta de resolução de nomes para o endereço IP do gateway VPN.
O cliente VPN usa o endereço IP retornado pelo DNS para enviar uma solicitação de conexão para o gateway VPN.
O servidor VPN também é configurado como um cliente RADIUS (Remote Authentication Dial-In User Service); o Cliente VPN RADIUS envia a solicitação de conexão ao servidor NPS para processamento da solicitação de conexão.
O servidor NPS processa a solicitação de conexão, incluindo a execução de autorização e autenticação, e determina se a solicitação de conexão deve ser permitida ou negada.
O servidor NPS encaminha uma resposta Access-Accept ou Access-Deny para o servidor VPN.
A conexão é iniciada ou encerrada com base na resposta que o servidor VPN recebeu do servidor NPS.
Próximos passos
recursos de segurança VPN: Este tópico fornece uma visão geral das diretrizes de segurança para a LockDown VPN, integração do Windows Information Protection (WIP) com VPN e filtros de tráfego.
opções de perfil acionado automaticamente de VPN: Este tópico fornece uma visão geral das opções de perfil de acionamento automático da VPN, como gatilho de aplicativo, gatilho baseado em nome e Always On.