訓練
認證
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
示範資料安全性、生命週期管理、資訊安全性和合規性的基本知識,以保護 Microsoft 365 部署。
VPN 安全性功能
Windows 支援不同類型的 Hyper-V 型容器,例如 Microsoft Defender 應用程式防護 和 Windows 沙箱。 當您使用非Microsoft VPN 解決方案時,Hyper-V 型容器可能無法順暢地連線到因特網,而且可能需要變更組態才能解決連線問題。
例如,閱讀 Cisco AnyConnect VPN 的因應措施: Cisco AnyConnect Secure Mobility Client Administrator Guide:VM 型子系統的連線問題。
流量篩選可讓組織根據原則來決定允許哪些流量進入公司網路。 IT 系統管理員可以使用流量篩選器,將介面特定的防火牆規則套用至 VPN 介面。
流量篩選規則有兩種類型:
- 以應用程式為基礎的規則 是由應用程式清單所組成,這些應用程式可以標示為只允許從應用程式流向 VPN 介面的流量
- 流量型規則 包含 5 個 Tuple 原則, (埠、地址、通訊協定) ,這些原則可以指定為只允許符合規則的流量通過 VPN 介面
OR 可以連結一組規則。 在每個集合中,都可以有以應用程式為基礎的規則和流量型規則。
集合中的所有屬性都是透過 AND 連結。 規則可以套用在每個應用程式層級或每個裝置層級。
例如,IT 系統管理員可以定義指定下列項目的規則:
- HR 應用程式可以通過 VPN,且只能存取埠 4545
- 財務應用程式可透過 VPN 存取,且只能在埠 5889 上存取 10.10.0.40 - 10.10.0.201 的遠端 IP 範圍
- 裝置上的所有其他應用程式只能存取 埠 80 或 443
如需了解 XML 設定,請參閱 VPN 設定檔選項和 VPNv2 CSP。
下圖顯示使用 Microsoft Intune 在 VPN 設定檔設定原則中設定流量規則的介面。
利用「鎖定」設定的 VPN 設定檔可保護裝置的安全,只允許 VPN 介面上的網路流量。 它具有下列功能:
- 系統會嘗試一律讓 VPN 保持連線
- 用戶無法中斷 VPN 連線
- 使用者無法刪除或修改 VPN 設定檔
- VPN 鎖定配置檔使用強制通道連線
- 如果 VPN 連線無法使用,輸出網路流量會遭到封鎖
- 裝置上只允許一個 VPN 鎖定設定檔
注意
針對內建 VPN,鎖定 VPN 僅適用於因特網密鑰交換版本 2 (IKEv2) 連線類型。
警告
部署鎖定 VPN 時請小心,因為如果沒有建立 VPN 連線,產生的連線將無法傳送或接收任何網路流量。
其他資源
文件
-
瞭解 Windows VPN 平臺用戶端和可設定的 VPN 連線類型功能。
-
使用自動觸發的 VPN 設定檔選項,Windows 可以根據 IT 系統管理員定義的規則自動建立 VPN 連線。 瞭解您可以為 VPN 連線建立的自動觸發程式規則類型。
-
瞭解 Windows 在 VPN 中支援的 EAP 驗證方法,以使用使用者名稱/密碼和憑證型方法提供安全驗證。