Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
AlwaysOn VPN позволяет:
Создайте расширенные сценарии, интегрируя операционные системы Windows и сторонние решения. Список поддерживаемых интеграции см. в разделе "Поддерживаемые интеграции".
Обеспечение безопасности сети, ограничение подключения по типам трафика, приложениям и методам проверки подлинности. Список функций безопасности AlwaysOn VPN см. в разделе "Функции безопасности".
Настройте автоматический запуск для аутентифицированных подключений пользователей и устройств. Дополнительные сведения см. в разделе "Функции подключения".
Управляйте сетью , создавая политики маршрутизации на детальном уровне, даже до отдельного приложения. Дополнительные сведения см. в разделе "Сетевые функции".
Настройте параметры VPN с помощью стандартного XML-профиля (ProfileXML), который определяется шаблоном стандартной конфигурации отрасли. Вы можете развертывать параметры VPN и управлять ими с помощью Windows PowerShell, Microsoft Endpoint Configuration Manager, Intune, конструктора конфигураций Windows или любого стороннего средства управления мобильными устройствами (MDM).
Поддерживаемые интеграции
Always On VPN поддерживает присоединенные к домену устройства, не присоединенные к домену (рабочая группа) или устройства, присоединенные к идентификатору Microsoft Entra, чтобы использовать их как в корпоративных, так и в сценариях BYOD. AlwaysOn VPN доступен во всех выпусках Windows, а функции платформы доступны сторонним сторонам посредством поддержки VPN-подключаемого модуля UWP.
AlwaysOn VPN поддерживает интеграцию со следующими платформами:
Windows Information Protection (WIP). Интеграция с WIP позволяет применять политики сети, чтобы определить, разрешен ли трафик для передачи через VPN. Если профиль пользователя активен и политики WIP применяются, для подключения автоматически активируется VPN Always On. Кроме того, при использовании WIP нет необходимости указывать
AppTriggerListиTrafficFilterListправила отдельно в профиле VPN (если вы не хотите более расширенной конфигурации), так как политики WIP и списки приложений автоматически вступают в силу.Windows Hello для бизнеса. AlwaysOn VPN изначально поддерживает Windows Hello для бизнеса в режиме проверки подлинности на основе сертификатов. Встроенная поддержка Windows Hello обеспечивает простой интерфейс единого входа для входа на компьютер, а также подключение к VPN. Для VPN-подключения не требуется дополнительная проверка подлинности (учетные данные пользователя).
Платформа условного доступа Microsoft Azure. VPN-клиент AlwaysOn может интегрироваться с платформой условного доступа Azure для применения многофакторной проверки подлинности (MFA), соответствия устройств или сочетания двух. При соответствии с политиками условного доступа идентификатор Microsoft Entra выдает краткосрочный (по умолчанию 6 минут) сертификат проверки подлинности (IPsec). Затем сертификат IPSec можно использовать для проверки подлинности в VPN-шлюзе. Соответствие устройств использует политики соответствия Configuration Manager или Intune, которые могут включать состояние аттестации работоспособности устройства в рамках проверки соответствия подключения. Дополнительные сведения см. в статье "VPN и условный доступ"
Платформа многофакторной аутентификации Microsoft Entra. При сочетании со службами удаленной проверки подлинности пользователей (RADIUS) и расширением сервера политик сети (NPS) для многофакторной аутентификации Microsoft Entra аутентификация VPN может использовать строгую многофакторную аутентификацию.
Сторонние подключаемые модули VPN. С помощью универсальной платформы Windows (UWP) сторонние поставщики VPN могут создавать одно приложение для всего спектра устройств Windows. UWP предоставляет гарантированный базовый уровень API на разных устройствах, устраняя сложность и проблемы, часто связанные с написанием драйверов на уровне ядра. В настоящее время доступны подключаемые модули VPN Windows UWP для Pulse Secure, F5 Access, Check Point Capsule VPN, FortiClient, SonicWall Mobile Connect и GlobalProtect.
Функции безопасности
AlwaysOn VPN обеспечивает подключение к корпоративным ресурсам с помощью политик туннеля, требующих проверки подлинности и шифрования, пока они не достигнут VPN-шлюза. По умолчанию сеансы туннеля завершаются на VPN-шлюзе, который также работает в качестве шлюза IKEv2, обеспечивая сквозную безопасность.
Дополнительные сведения о стандартных параметрах проверки подлинности VPN см. в разделе "Параметры проверки подлинности VPN".
AlwaysOn VPN поддерживает следующие функции безопасности:
Поддержка VPN-протокола IKEv2 по отраслевому стандарту. Vpn-клиент AlwaysOn поддерживает IKEv2, один из самых широко используемых отраслевых протоколов туннелирования. Эта совместимость обеспечивает максимальную совместимость с сторонними VPN-шлюзами.
Взаимодействие с сторонними VPN-шлюзами IKEv2. Vpn-клиент Always On поддерживает взаимодействие с сторонними VPN-шлюзами IKEv2. Вы также можете обеспечить взаимодействие с сторонними VPN-шлюзами с помощью подключаемого модуля VPN UWP в сочетании с пользовательским типом туннелирования, не жертвуя функциями и преимуществами платформы Always On.
Примечание.
Обратитесь к своему шлюзу или стороннему поставщику внутреннего устройства по конфигурациям и совместимости с Always On VPN и туннельом устройств с помощью IKEv2.
Вернитесь к SSTP из IKEv2. Вы можете настроить резервное переключение для клиентов, находящихся за брандмауэрами или прокси-серверами, с помощью автоматического типа туннеля или протокола в профиле VPN.
Примечание.
Пользовательский туннель поддерживает SSTP и IKEv2, а туннель устройства поддерживает только IKEv2, без возможности переключения на SSTP.
Поддержка проверки подлинности сертификата компьютера. Тип протокола IKEv2, доступный в рамках VPN-платформы Always On, специально поддерживает использование сертификатов устройства или компьютера для аутентификации VPN.
Примечание.
IKEv2 — единственный поддерживаемый протокол для туннеля устройства, и нет возможности резервного перехода на SSTP. Дополнительные сведения см. в разделе "Настройка туннеля VPN-устройства AlwaysOn".
Фильтры трафика и приложений. С помощью правил брандмауэра трафика и приложений можно указать клиентские политики, определяющие, какой трафик и приложения разрешены для подключения к VPN-интерфейсу.
Доступны два типа правил фильтрации:
Правила для приложений. Правила брандмауэра на основе приложений определяются списком указанных приложений, разрешая только трафик, исходящий из этих приложений, который может пройти через VPN-интерфейс.
Правила на основе трафика. Правила брандмауэра на основе трафика основаны на сетевых требованиях, таких как порты, адреса и протоколы. Используйте эти правила только для трафика, который соответствует определённым условиям и разрешён для прохождения через VPN-интерфейс.
Примечание.
Эти правила применяются только к исходящему трафику с устройства. Использование фильтров трафика блокирует входящий трафик из корпоративной сети клиенту.
Условный доступ VPN. Условный доступ и соответствие устройств могут требовать, чтобы управляемые устройства соответствовали стандартам, прежде чем они смогут подключиться к VPN. Условный доступ VPN позволяет ограничить VPN-подключения только к тем устройствам, у которых сертификат проверки подлинности клиента содержит OID
1.3.6.1.4.1.311.87условного доступа Microsoft Entra. Сведения об ограничении VPN-подключений непосредственно на сервере NPS см. в статье Настройка условного доступа VPN на сервере политики сети. Сведения об ограничении VPN-подключений с Microsoft Entra Conditional Access см. в статье Условный доступ для VPN-подключений с использованием Microsoft Entra ID.Ограничение удаленного доступа определенным пользователям и устройствам. Вы можете настроить AlwaysOn VPN для поддержки детализированной авторизации при использовании RADIUS, которая включает использование групп безопасности для контроля доступа к VPN.
Определите доступные серверы управления перед входом пользователя. Используйте функцию Туннеля устройства (доступной только в версии 1709 — только для IKEv2) в профиле VPN вместе с фильтрами трафика для управления системами управления в корпоративной сети через туннель устройств.
Примечание.
Если включить фильтры трафика в профиле туннеля устройств, туннель устройств запрещает входящий трафик (из корпоративной сети в клиент).
VPN для отдельных приложений. VPN для каждого приложения похож на фильтр трафика на основе приложений, но он идет дальше, чтобы объединить триггеры приложений с фильтром трафика на основе приложений, чтобы VPN-подключение ограничено определенным приложением, а не для всех приложений на VPN-клиенте. Функция автоматически инициируется при запуске приложения.
Настраиваемые алгоритмы шифрования IPsec. Always On VPN поддерживает использование как RSA, так и криптографических алгоритмов на основе эллиптических кривых для соответствия строгим требованиям правительственной или организационной безопасности.
Поддержка встроенного расширяемого протокола проверки подлинности (EAP). Always On VPN изначально поддерживает EAP, что позволяет использовать разнообразный набор типов EAP от Microsoft и сторонних поставщиков в рамках рабочего процесса проверки подлинности. EAP обеспечивает безопасную проверку подлинности на основе следующих типов проверки подлинности:
- Имя пользователя и пароль
- Смарт-карта (как физические, так и виртуальные)
- Пользовательские сертификаты
- Windows Hello для бизнеса
- Поддержка многофакторной аутентификации с помощью интеграции EAP RADIUS
Поставщик приложений управляет сторонними методами проверки подлинности VPN-модуля UWP, хотя у них есть массив доступных параметров, включая пользовательские типы учетных данных и поддержку OTP.
Windows Hello для бизнеса — двухфакторная проверка подлинности на компьютерах и мобильных устройствах. В Windows 10 Windows Hello для бизнеса заменяет пароли, предоставляя надежную двухфакторную проверку подлинности на компьютерах и мобильных устройствах. Дополнительные сведения см. в статье "Включение удаленного доступа с помощью Windows Hello для бизнеса в Windows 10"
Многофакторная проверка подлинности Azure (MFA). Многофакторная проверка подлинности Microsoft Entra содержит облачные и локальные версии, которые можно интегрировать с механизмом проверки подлинности VPN Windows. Дополнительные сведения см. в статье Интеграция проверки подлинности RADIUS с сервером Многофакторной идентификации Azure.
Аттестация ключей защищённого платформенного модуля (TPM). Сертификат пользователя с ключом, подтвержденным доверенным платформенным модулем (TPM), обеспечивает более высокий уровень безопасности благодаря неэкспортируемости, защите от атак и изоляции ключей, предоставляемых TPM.
Дополнительные сведения об аттестации ключей доверенного платформенного модуля в Windows 10 см. в разделе Аттестация ключей доверенного платформенного модуля.
Функции подключения
AlwaysOn VPN поддерживает следующие функции подключения:
Автоматический запуск приложения. Вы можете настроить Always On VPN для поддержки автоматического запуска на основе запросов на запуск приложения или разрешения пространства имен. Дополнительные сведения о настройке автоматического запуска см. в параметрах профиля автоматического запуска VPN.
Автоматическая активация по именам. С помощью AlwaysOn VPN можно определить правила, чтобы определенные запросы доменных имен активируют VPN-подключение. Устройства Windows поддерживают активацию на основе имен для присоединенных к домену и не присоединенных к домену компьютеров (ранее поддерживались только компьютеры, не присоединенные к домену).
Обнаружение доверенной сети. AlwaysOn VPN включает эту функцию, чтобы убедиться, что VPN-подключение не активируется, если пользователь подключен к доверенной сети в пределах корпоративной границы. Эту функцию можно объединить с любым из методов активации, упомянутых ранее, чтобы обеспечить простое "подключение только при необходимости".
Туннель устройства. AlwaysOn VPN позволяет создать выделенный профиль VPN для устройства или компьютера. В отличие от пользовательского туннеля, который подключается только после входа пользователя на устройство или компьютер, Туннель устройств позволяет VPN установить подключение перед входом пользователя. Туннель устройств и пользовательский туннель работают независимо друг от друга с профилями VPN, могут быть подключены одновременно и могут использовать различные методы проверки подлинности и другие параметры конфигурации VPN в соответствии с соответствующими параметрами. Сведения о настройке туннеля устройства, включая информацию о том, как использовать manage-out для динамической регистрации IP-адресов клиентов в DNS, см. в разделе Настройка туннеля Always On VPN на устройстве.
Примечание.
Туннель устройств можно настроить только на присоединённых к домену устройствах, работающих под управлением Windows 10 Корпоративная или Образовательная версия 1709 или более поздняя. Нет поддержки стороннего управления туннельом устройств.
Помощник по подключению AlwaysOn VPN полностью интегрирован с собственным помощником по подключению к сети и предоставляет состояние подключения из интерфейса View All Networks. С появлением Windows 10 Creators Update (версия 1703) состояние VPN-подключения и управление VPN-подключением для пользовательского туннеля доступны через всплывающее меню "Сеть" (для встроенного VPN-клиента Windows).
Функции сетей
AlwaysOn VPN поддерживает следующие сетевые функции:
Поддержка двойного стека для IPv4 и IPv6. AlwaysOn VPN изначально поддерживает использование IPv4 и IPv6 в двухстековом подходе. Он не имеет определенной зависимости от одного протокола, что позволяет обеспечить максимальную совместимость приложений IPv4/IPv6 с поддержкой будущих сетевых потребностей IPv6.
Политики маршрутизации для конкретного приложения. Помимо определения глобальных политик маршрутизации VPN-подключений для разделения трафика через Интернет и интрасети, можно добавить политики маршрутизации для управления использованием разделенного туннеля или принудительного туннеля для каждого приложения. Этот параметр обеспечивает более детальный контроль над тем, с какими приложениями разрешено взаимодействовать с ресурсами через VPN-туннель.
Пути исключения. AlwaysOn VPN поддерживает возможность указывать маршруты исключения, которые специально управляют поведением маршрутизации, чтобы определить, какой трафик должен проходить только через VPN, а не переходить по физическому сетевому интерфейсу.
Примечание.
Маршруты исключения работают для трафика в той же подсети, что и клиент, например LinkLocal. Маршруты исключения работают только в конфигурации разделенного туннеля.
Поддержка нескольких доменов и лесов. Платформа Always On VPN не зависит от лесов доменных служб Active Directory (AD DS) или топологии домена (или связанных уровней функциональных и схем), так как для работы не требуется присоединение VPN-клиента к домену. Поэтому групповая политика не является зависимостью для определения параметров профиля VPN, так как она не используется во время настройки клиента. Где требуется интеграция авторизации Active Directory, ее можно достичь с помощью RADIUS в рамках процесса проверки подлинности и авторизации EAP.
Разрешение имен корпоративных ресурсов с использованием короткого имени, полного доменного имени (FQDN) и DNS-суффикса. AlwaysOn VPN может самостоятельно определять один или несколько DNS-суффиксов в рамках процесса назначения VPN-подключения и IP-адресов, включая разрешение имен корпоративных ресурсов для коротких имен, полных доменных имен или целых пространств имен DNS. Always On VPN также поддерживает использование таблиц политик разрешения имен для обеспечения более детализированной настройки разрешения пространства имен.
Примечание.
Избегайте использования глобальных суффиксов, так как они препятствуют разрешению коротких имен при использовании таблиц политики разрешения имен.
Возможности обеспечения высокой доступности
Ниже приведены дополнительные возможности обеспечения высокого уровня доступности.
Устойчивость сервера и балансировка нагрузки. В средах, требующих высокой доступности или поддержки большого количества запросов, можно повысить производительность и устойчивость удаленного доступа, настроив балансировку нагрузки между серверами политики сети (NPS) и включением кластеризации серверов удаленного доступа.
Устойчивость географических сайтов. Для IP-геолокации можно использовать Диспетчер трафика с DNS в Windows Server. Для более надежной географической балансировки нагрузки можно использовать решения глобальной балансировки нагрузки сервера, например Диспетчер трафика Microsoft Azure.
Следующие шаги
Особенности безопасности VPN: В этом разделе представлен обзор рекомендаций по безопасности VPN для LockDown VPN, интеграции Windows Information Protection (WIP) с VPN и фильтров трафика.
Параметры профиля автоматического активации VPN: в этом разделе представлен обзор параметров профиля автоматического активации VPN, таких как триггер приложения, триггер на основе имен и AlwaysOn.