Сведения об Always On VPN

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10+

AlwaysOn VPN позволяет:

• Создайте расширенные сценарии, интегрируя операционные системы Windows и сторонние решения. Список поддерживаемых интеграции см. в разделе "Поддерживаемые интеграции".

• Обеспечение безопасности сети, ограничение подключения по типам трафика, приложениям и методам проверки подлинности. Список функций безопасности AlwaysOn VPN см. в разделе "Функции безопасности".

• Настройте автоматическое активацию для подключений, прошедших проверку подлинности пользователей и устройств. Дополнительные сведения см. в разделе о функциях Подключение ivity.

• Управляйте сетью , создавая политики маршрутизации на детальном уровне, даже до отдельного приложения. Дополнительные сведения см. в разделе "Сетевые функции".

• Настройте параметры VPN с помощью стандартного XML-профиля (ProfileXML), который определяется шаблоном стандартной конфигурации отрасли. Вы можете развертывать параметры VPN и управлять ими с помощью Windows PowerShell, Microsoft Endpoint Configuration Manager, Intune, конструктора конфигураций Windows или любого стороннего средства управления мобильными устройствами (MDM).

Поддерживаемые интеграции

Always On VPN поддерживает присоединенные к домену устройства, недоменовые соединения (рабочая группа) или устройства, присоединенные к идентификатору Microsoft Entra, чтобы разрешить как корпоративные, так и для сценариев BYOD. AlwaysOn VPN доступен во всех выпусках Windows, а функции платформы доступны сторонним сторонам посредством поддержки VPN-подключаемого модуля UWP.

AlwaysOn VPN поддерживает интеграцию со следующими платформами:

• Windows Information Protection (WIP). Интеграция с WIP позволяет применять политики сети, чтобы определить, разрешен ли трафик для передачи через VPN. Если профиль пользователя активен и политики WIP применяются, для подключения автоматически активируется VPN Always On. Кроме того, при использовании WIP нет необходимости указывать AppTriggerList и TrafficFilterList правила отдельно в профиле VPN (если вы не хотите более расширенной конфигурации), так как политики WIP и списки приложений автоматически вступают в силу.

• Windows Hello для бизнеса. AlwaysOn VPN изначально поддерживает Windows Hello для бизнеса в режиме проверки подлинности на основе сертификатов. Встроенная поддержка Windows Hello обеспечивает простой интерфейс единого входа для входа на компьютер, а также подключение к VPN. Для VPN-подключения не требуется дополнительная проверка подлинности (учетные данные пользователя).

• Платформа условного доступа Microsoft Azure. VPN-клиент AlwaysOn может интегрироваться с платформой условного доступа Azure для применения многофакторной проверки подлинности (MFA), соответствия устройств или сочетания двух. При соответствии с политиками условного доступа идентификатор Microsoft Entra выдает краткосрочный (по умолчанию 6 минут) сертификат проверки подлинности (IPsec). Затем сертификат IPSec можно использовать для проверки подлинности в VPN-шлюзе. Соответствие устройств использует политики соответствия Configuration Manager или Intune, которые могут включать состояние аттестации работоспособности устройства в рамках проверка соответствия подключения. Дополнительные сведения см. в статье "VPN и условный доступ"

• Платформа многофакторной проверки подлинности Microsoft Entra. При сочетании со службами службы пользователей удаленной проверки подлинности (RADIUS) и расширением сервера политики сети (NPS) для многофакторной проверки подлинности Microsoft Entra vpn-проверка подлинности может использовать строгую MFA.

• Сторонние подключаемые модули VPN. С помощью универсальная платформа Windows (UWP) сторонние поставщики VPN могут создавать одно приложение для полного диапазона устройств Windows. UWP предоставляет гарантированный базовый уровень API на разных устройствах, устраняя сложность и проблемы, часто связанные с написанием драйверов на уровне ядра. В настоящее время подключаемые модули VPN Windows UWP существуют для pulse Secure, F5 Access, Check Point Capsule VPN, FortiClient, SonicWall Mobile Подключение и GlobalProtect.

Функции безопасности

AlwaysOn VPN обеспечивает подключение к корпоративным ресурсам с помощью политик туннеля, требующих проверки подлинности и шифрования, пока они не достигнут VPN-шлюза. По умолчанию сеансы туннеля завершаются на VPN-шлюзе, который также работает в качестве шлюза IKEv2, обеспечивая сквозную безопасность.

Дополнительные сведения о стандартных параметрах проверки подлинности VPN см. в разделе "Параметры проверки подлинности VPN".

AlwaysOn VPN поддерживает следующие функции безопасности:

• Поддержка VPN-протокола IKEv2 уровня "Стандартный" для отрасли. Vpn-клиент AlwaysOn поддерживает IKEv2, один из самых широко используемых отраслевых протоколов туннелирования. Эта совместимость обеспечивает максимальную совместимость с сторонними VPN-шлюзами.

• Взаимодействие с сторонними VPN-шлюзами IKEv2. Vpn-клиент Always On поддерживает взаимодействие с сторонними VPN-шлюзами IKEv2. Вы также можете обеспечить взаимодействие с сторонними VPN-шлюзами с помощью подключаемого модуля VPN UWP в сочетании с пользовательским типом туннелирования, не жертвуя функциями и преимуществами платформы Always On.

  Примечание.

  Обратитесь к своему шлюзу или стороннему поставщику (модуль) по конфигурациям и совместимости с AlwaysOn VPN и туннельом устройств с помощью IKEv2.

• Вернитесь к SSTP из IKEv2. Вы можете настроить возврат клиентов, находящихся за брандмауэрами или прокси-серверами, с помощью типа автоматического туннеля или протокола в профиле VPN.

  Примечание.

  Пользовательский туннель поддерживает SSTP и IKEv2, а туннель устройств поддерживает только IKEv2 без поддержки резервного размещения SSTP.

• Поддержка проверки подлинности сертификата компьютера. Тип протокола IKEv2, доступный в рамках vpn-платформы Always On, специально поддерживает использование сертификатов компьютера или компьютера для проверки подлинности VPN.

  Примечание.

  IKEv2 — единственный поддерживаемый протокол для туннеля устройств, и для резервного размещения SSTP нет возможности поддержки. Дополнительные сведения см. в разделе "Настройка туннеля VPN-устройства AlwaysOn".

• Фильтры трафика и приложений. С помощью правил брандмауэра трафика и приложений можно указать клиентские политики, определяющие, какой трафик и приложения разрешены для подключения к VPN-интерфейсу.

  Доступны два типа правил фильтрации:

  • Правила на основе приложений. Правила брандмауэра на основе приложений основаны на списке указанных приложений, чтобы только трафик, исходящий из этих приложений, можно перейти через VPN-интерфейс.

  • Правила на основе трафика. Правила брандмауэра на основе трафика основаны на сетевых требованиях, таких как порты, адреса и протоколы. Используйте эти правила только для трафика, соответствующего этим конкретным условиям, разрешено проходить через VPN-интерфейс.

  Примечание.

  Эти правила применяются только к исходящему трафику с устройства. Использование фильтров трафика блокирует входящий трафик из корпоративной сети клиенту.

• Условный доступ VPN. Условный доступ и соответствие устройств могут требовать, чтобы управляемые устройства соответствовали стандартам, прежде чем они смогут подключиться к VPN. Условный доступ VPN позволяет ограничить VPN-подключения к устройствам, сертификат проверки подлинности клиента которого содержит OID 1.3.6.1.4.1.311.87условного доступа Microsoft Entra. Сведения об ограничении VPN-подключений непосредственно на сервере NPS см. в статье Настройка условного доступа VPN на сервере политики сети. Сведения об ограничении VPN-подключений с помощью условного доступа Microsoft Entra см. в статье "Условный доступ" для VPN-подключения с помощью идентификатора Microsoft Entra.

• Ограничение удаленного доступа определенным пользователям и устройствам. Вы можете настроить AlwaysOn VPN для поддержки детализированной авторизации при использовании RADIUS, которая включает использование групп безопасности для контроля доступа к VPN.

• Определите доступные серверы управления перед входом пользователя. Используйте функцию Туннеля устройства (доступной только в версии 1709 — только для IKEv2) в профиле VPN вместе с фильтрами трафика для управления системами управления в корпоративной сети через туннель устройств.

  Примечание.

  Если включить фильтры трафика в профиле туннеля устройств, туннель устройств запрещает входящий трафик (из корпоративной сети в клиент).

• VPN для каждого приложения. VPN для каждого приложения похож на фильтр трафика на основе приложений, но он идет дальше, чтобы объединить триггеры приложений с фильтром трафика на основе приложений, чтобы VPN-подключение ограничено определенным приложением, а не для всех приложений на VPN-клиенте. Функция автоматически инициируется при запуске приложения.

• Настраиваемые алгоритмы шифрования IPsec. AlwaysOn VPN поддерживает использование RSA и многоточия криптографических алгоритмов на основе пользовательских криптографических алгоритмов на основе строгих государственных или организационных политик безопасности.

• Поддержка встроенного расширяемого протокола проверки подлинности (EAP). AlwaysOn VPN изначально поддерживает EAP, что позволяет использовать разнообразный набор типов EAP и майкрософт и сторонних поставщиков EAP в рамках рабочего процесса проверки подлинности. EAP обеспечивает безопасную проверку подлинности на основе следующих типов проверки подлинности:

  • Имя пользователя и пароль
  • Смарт-карта (как физические, так и виртуальные)
  • Пользовательские сертификаты
  • Windows Hello для бизнеса
  • Поддержка MFA путем интеграции EAP RADIUS

  Поставщик приложений управляет сторонними методами проверки подлинности VPN-модуля UWP, хотя у них есть массив доступных параметров, включая пользовательские типы учетных данных и поддержку OTP.

• Windows Hello для бизнеса двухфакторную проверку подлинности на компьютерах и мобильных устройствах. В Windows 10 Windows Hello для бизнеса заменяет пароли, предоставляя надежную двухфакторную проверку подлинности на компьютерах и мобильных устройствах. Дополнительные сведения см. в статье "Включение удаленного доступа с помощью Windows Hello для бизнеса в Windows 10"

• Многофакторная проверка подлинности Azure (MFA). Многофакторная проверка подлинности Microsoft Entra содержит облачные и локальные версии, которые можно интегрировать с механизмом проверки подлинности VPN Windows. Дополнительные сведения см. в статье Интеграция проверки подлинности RADIUS с сервером Многофакторной идентификации Azure.

• Аттестация ключей доверенного платформенного модуля (TPM). Сертификат пользователя, имеющий сертификат доверенного платформенного модуля, обеспечивает более высокую безопасность, резервную копию не экспортируемости, защиты от молотка и изоляции ключей, предоставляемых TPM.

Дополнительные сведения об аттестации ключей доверенного платформенного модуля в Windows 10 см. в статье аттестации ключей доверенного платформенного модуля.

функции Подключение тивности

AlwaysOn VPN поддерживает следующие функции подключения:

• Автоматическое активация приложения. Вы можете настроить AlwaysOn VPN для поддержки автоматического активации на основе запросов на запуск приложения или разрешение пространства имен. Дополнительные сведения о настройке автоматического активации см. в параметрах профиля автоматического активации VPN.

• Автоматическое активация на основе имен. С помощью AlwaysOn VPN можно определить правила, чтобы определенные запросы доменных имен активируют VPN-подключение. Устройства Windows поддерживают активацию на основе имен для присоединенных к домену и недомена присоединенных компьютеров (ранее поддерживаются только компьютеры, присоединенные к домену).

• Обнаружение доверенной сети. AlwaysOn VPN включает эту функцию, чтобы убедиться, что VPN-подключение не активируется, если пользователь подключен к доверенной сети в пределах корпоративной границы. Эту функцию можно объединить с любым из методов активации, упоминание ранее, чтобы обеспечить простое взаимодействие с пользователем только при необходимости.

• Туннель устройства. AlwaysOn VPN позволяет создать выделенный профиль VPN для устройства или компьютера. В отличие от пользовательского туннеля, который подключается только после входа пользователя на устройство или компьютер, Туннель устройств позволяет VPN установить подключение перед входом пользователя. Туннель устройств и пользовательский туннель работают независимо друг от друга с профилями VPN, могут быть подключены одновременно и могут использовать различные методы проверки подлинности и другие параметры конфигурации VPN в соответствии с соответствующими параметрами. Сведения о настройке туннеля устройства, включая сведения о том, как использовать управление для динамической регистрации IP-адресов клиентов в DNS, см. в разделе "Настройка туннеля VPN-устройств Always On".

  Примечание.

  Туннель устройств можно настроить только на присоединенных к домену устройствах с Windows 10 Корпоративная или образовательных учреждений версии 1709 или более поздней. Нет поддержки стороннего управления туннельом устройств.

• Помощник по Подключение чувствительность AlwaysOn VPN полностью интегрирован с собственным помощником по Подключение производительности сети и предоставляет состояние подключения из интерфейса View All Networks. С появлением Windows 10 Creators Update (версия 1703) состояние VPN-подключения и управление VPN-подключением для пользовательского туннеля доступны через всплывающее меню "Сеть" (для встроенного VPN-клиента Windows).

Функции сетей

AlwaysOn VPN поддерживает следующие сетевые функции:

• Поддержка двойного стека для IPv4 и IPv6. AlwaysOn VPN изначально поддерживает использование IPv4 и IPv6 в подходе с двумя стеками. Он не имеет определенной зависимости от одного протокола, что позволяет обеспечить максимальную совместимость приложений IPv4/IPv6 с поддержкой будущих сетевых потребностей IPv6.

• Политики маршрутизации для конкретного приложения. Помимо определения глобальных политик маршрутизации VPN-подключений для разделения трафика через Интернет и интрасети, можно добавить политики маршрутизации для управления использованием разбиения туннеля или принудительной конфигурации туннеля на основе каждого приложения. Этот параметр обеспечивает более детальный контроль над тем, с какими приложениями разрешено взаимодействовать с ресурсами через VPN-туннель.

• Маршруты исключения. AlwaysOn VPN поддерживает возможность указывать маршруты исключения, которые специально управляют поведением маршрутизации, чтобы определить, какой трафик должен проходить только через VPN, а не переходить по физическому сетевому интерфейсу.

  Примечание.

  Маршруты исключения работают для трафика в той же подсети, что и клиент, например LinkLocal. Маршруты исключения работают только в настройке разделенного туннеля.

• Поддержка нескольких доменов и лесов. Платформа AlwaysOn VPN не зависит от лесов домен Active Directory служб (AD DS) или топологии домена (или связанных уровней функциональных и схем), так как для функции не требуется присоединение VPN-клиента к функции. Поэтому групповая политика не является зависимостью для определения параметров профиля VPN, так как она не используется во время настройки клиента. Где требуется интеграция авторизации Active Directory, ее можно достичь с помощью RADIUS в рамках процесса проверки подлинности и авторизации EAP.

• Разрешение имен корпоративных ресурсов с использованием короткого имени, полного доменного имени (FQDN) и DNS-суффикса. AlwaysOn VPN может самостоятельно определять один или несколько DNS-суффиксов в рамках процесса назначения VPN-подключения и IP-адресов, включая разрешение имен корпоративных ресурсов для коротких имен, полных доменных имен или целых пространств имен DNS. AlwaysOn VPN также поддерживает использование таблиц политик разрешения имен для обеспечения детализации разрешения пространства имен.

  Примечание.

  Избегайте использования глобальных суффиксов, так как они препятствуют разрешению коротких имен при использовании таблиц политики разрешения имен.

Возможности обеспечения высокой доступности

Ниже приведены дополнительные возможности обеспечения высокого уровня доступности.

Устойчивость сервера и балансировка нагрузки. В средах, требующих высокой доступности или поддержки большого количества запросов, можно повысить производительность и устойчивость удаленного доступа, настроив балансировку нагрузки между серверами политики сети (NPS) и включением сервера удаленного доступа кластеризация.

Устойчивость географических сайтов. Для геолокации на основе IP-адресов можно использовать глобальные Диспетчер трафика с DNS в Windows Server. Для более надежной географической балансировки нагрузки можно использовать решения глобальной балансировки нагрузки сервера, например Диспетчер трафика Microsoft Azure.

Следующие шаги

• Установка удаленного доступа в качестве VPN-сервера

• Руководство по развертыванию AlwaysOn VPN

• Функции безопасности VPN. В этом разделе представлен обзор рекомендаций по безопасности VPN для vpn-подключения LockDown, интеграции Windows Information Protection с VPN и фильтрами трафика.

• Параметры профиля автоматического активации VPN: в этом разделе представлен обзор параметров профиля автоматического активации VPN, таких как триггер приложения, триггер на основе имен и AlwaysOn.

• Устранение неполадок постоянно подключенного VPN-профиля