Non classé

Configuration toujours active du réseau privé virtuel dans Windows 10 à l'aide de Microsoft Intune – Bien monter son serveur

Le 2 mai 2019 - 12 minutes de lecture

J'ai souvent dû utiliser différentes solutions VPN (VPN) au fil des années, alors que je travaillais à développer de la documentation, des livres blancs, du matériel de cours et toute autre sécurité technique pour les partenaires commerciaux et les grands fournisseurs tels que Microsoft. Cependant, le déploiement et la configuration de telles solutions ont souvent posé problème. DirectAccess, une technologie Microsoft introduite dans Windows Server 2008 R2 et Windows 7, promettait de fournir une connectivité transparente entre les clients externes et les réseaux d'entreprise sans nécessiter de déploiement et d'utilisation de connexions VPN. Bien que cette technologie ait permis de concrétiser cette promesse, de nombreux administrateurs ont eu du mal à mettre en œuvre et à gérer ce logiciel.

Cependant, avec Windows 10, le pendule a basculé dans le sens opposé en introduisant une nouvelle solution de connexion à distance appelée Always On VPN. J'ai moi-même utilisé cette solution et je préfère personnellement utiliser DirectAccess pour aider nos lecteurs à mieux comprendre comment je distribue et configure ce que j'ai interviewé, mon collègue Richard Hicks, et lui demande de mettre à jour notre compréhension de cette technologie et explique-nous comment le distribuer et le configurer. Richard est le fondateur et le principal consultant de Richard M. Hicks Consulting, qui aide les entreprises à mettre en œuvre des solutions de sécurité périphérique, d'accès distant et d'infrastructure à clé publique sur des plates-formes Microsoft et tierces. Il est l'un des professionnels les plus précieux de Microsoft dans la catégorie Cloud & Datacenter et le prix de la sécurité d'entreprise. Il peut être trouvé sur Twitter. ici. Dans cet article de TechGenix, Richard nous avait précédemment présenté un bref aperçu de Always on VPN, mais il abordera aujourd’hui des détails beaucoup plus techniques sur sa configuration à l’aide de Microsoft Intune.

MITCH: Richard, commencez par nous fournir une mise à jour sur la raison pour laquelle le VPN de Always On peut être logique pour de nombreuses organisations à la recherche d'une solution de connectivité externe améliorée.

RICHARD: Eh bien, DirectAccess est depuis de nombreuses années la solution d’accès à distance pour tous les choix d’entreprise. Il offre aux utilisateurs mobiles une connectivité transparente, transparente et permanente, leur permettant d’être productifs n’importe où. Un accès réseau permanent permet également aux administrateurs de mieux gérer leurs périphériques essentiellement basés sur le terrain. Cependant, DirectAccess repose fortement sur Active Directory et la stratégie de groupe et requiert la fusion des clients et des serveurs DirectAccess avec un domaine. Et lorsque les organisations migreront leurs applications, leurs données et même leur infrastructure cloud, une solution de mobilité prenant en charge l'intégration cloud et une gestion moderne sera nécessaire.

Pour remédier aux faiblesses de DirectAccess, Microsoft a toujours introduit Always On VPN pour Windows 10. Il offre la même expérience utilisateur que DirectAccess, mais fournit une prise en charge importante pour des services en nuage tels qu'Azure Active Directory. Avec Always on VPN, les administrateurs peuvent étendre la même expérience de type DirectAccess à leurs périphériques Windows 10 Professionnel. Always on VPN prend en charge des fonctionnalités avancées non incluses dans DirectAccess, telles que le filtrage du trafic, Azure Active Directory, l'accès conditionnel, l'intégration de Windows Information Protection (WIP) et Windows Hello for Business.

MITCH: Est-ce que VPN est toujours implémenté et géré comme DirectAccess?

RICHARD: Always on VPN est implémenté et géré de manière fondamentalement différente de DirectAccess. Cela nécessitait un Active Directory local et les clients devaient appartenir à un domaine. Dans le cas où DirectAccess utilisait la stratégie de groupe pour déployer les paramètres de configuration, Always On VPN est conçu pour utiliser une plate-forme pour plate-forme de périphérique mobile (MDM), telle que Microsoft Intune. Grâce à Intune, les administrateurs peuvent créer et déployer des profils VPN distribués sur des périphériques Windows 10 sur lesquels ils résident.

MITCH: OK, passons du starter au plat principal. Avant de nous montrer comment distribuer systématiquement sur un réseau VPN avec Intune, dites-nous s’il existe des conditions préalables.

RICHARD: Avant de commencer, le Guide pour la diffusion d’un profil VPN permanent avec Intune suppose que les ordinateurs Windows 10 sont gérés avec Intune et que tous les certificats requis ont été attribués au client. Vous pouvez trouver des instructions pour accorder des certificats avec Intune ici.

MITCH: Merci. Je suppose donc que la première étape consiste maintenant à créer un profil pour vos nouvelles connexions Always On VPN, n'est-ce pas? S'il vous plaît, montrez-nous comment faire cela étape par étape.

RICHARD: C'est vrai. Pour déployer un profil VPN Toujours sur Windows 10 à l'aide de Intune, ouvrez Intune Management Console et procédez comme suit:

  1. Cliquez sur Configuration du périphérique.
  2. Cliquez sur Profils.
  3. Cliquez sur Créer un profil.

<img data-attachment-id = "989328" data-permalink = "http://techgenix.com/always-on-vpn-configuration/figure-1-22/" "data-orig-file =" http: // techgenix.com/tgwordpress/wp-content/uploads/2019/04/Figure-1.png "data-orig-size =" 1267.430 "data-comments-open =" 1 "data-image-meta =" "blender ":" "", "Crédit": "", "camera": "", "caption": "", "created_timestamp": "0", "copyright": "", "FOCAL_LENGTH": "0" "," shutter_speed ":" 0 "," title ":" "," orientation ":" 0 " data-image-title =" Figure 1 "data-image-description ="

Créer un profil

"data-medium-file =" http://techgenix.com/tgwordpress/wp-content/uploads/2019/04/Figure-1-300×102.png "data-large-file =" http://techgenix.com /tgwordpress/wp-content/uploads/2019/04/Figure-1-1024×348.png "class =" aligncenter wp-image-989328 size-stor "src =" http://techgenix.com/tgwordpress/wp-content /uploads/2019/04/Figure-1-1024×348.png "alt =" Toujours sur le VPN "width =" 1024 "height =" 348 "/>

  1. Entrez un nom pour le profil dans le champ Nom.
  2. Sélectionnez Windows 10 et versions ultérieures dans la liste déroulante Plate-forme.
  3. Sélectionnez VPN dans la liste déroulante Type de profil.
  4. Cliquez sur VPN de base.
  5. Entrez un nom dans le champ Nom de la connexion.
  6. Entrez une description et l'adresse IP ou le nom de domaine complet du serveur VPN dans les champs Description et Adresse IP ou FQDN, respectivement.
  7. Cliquez sur True pour le serveur par défaut, puis cliquez sur Ajouter.
  8. Sélectionnez Activer ou Désactiver pour enregistrer les adresses IP avec le DNS interne.
  9. Sélectionnez Automatique dans la liste déroulante Type de connexion.
  10. Sélectionnez Activer pour que la connexion VPN soit toujours activée.
  11. Sélectionnez Activer pour mémoriser les informations de connexion à chaque connexion.
  12. Sélectionnez un certificat d'authentification.
  13. Collez le fichier EAP XML exporté à partir d'une connexion Palm dans le champ EAP XML.
  14. Cliquez sur OK

Toujours sur VPN

  1. Cliquez sur Paramètres DNS.
  2. Entrez le suffixe DNS utilisé sur le réseau interne dans le champ suffixe DNS.
  3. Cliquez sur Ajouter.
  4. Cliquez sur OK

<img data-attachment-id = "989330" data-permalink = "http://techgenix.com/always-on-vpn-configuration/figure-3-11/" data-orig-file = "http: // techgenix.com/tgwordpress/wp-content/uploads/2019/04/Figure-3.png "data-orig-size =" 592,448 "data-comments-open =" 1 "data-image-meta =" ":" "", "Crédit": "", "camera": "", "caption": "", "created_timestamp": "0", "copyright": "", "FOCAL_LENGTH": "0", "iso" : "0", "shutter_speed": "0", "title": "", "orientation": "0"} "data-image-title =" Figure 3 "data-image-description ="

paramètres DNS

"data-medium-file =" http://techgenix.com/tgwordpress/wp-content/uploads/2019/04/Figure-3-300×227.png "data-large-file =" http://techgenix.com /tgwordpress/wp-content/uploads/2019/04/Figure-3.png "class =" aligncenter wp-image-989330 "src =" http://techgenix.com/tgwordpress/wp-content/uploads/2019/ 04 / Figure-3.png "alt =" Toujours sur le VPN "width =" 917 "height =" 694 "/>

  1. Cliquez sur Split Tunneling (facultatif).
  2. Cliquez sur Activer pour le tunneling fractionné.
  3. Entrez la ou les adresses réseau correspondant au réseau interne dans les champs Préfixe de destination et Taille du préfixe.
  4. Cliquez sur OK

<img data-attachment-id = "989331" data-permalink = "http://techgenix.com/always-on-vpn-configuration/figure-4-8/" data-orig-file = "http: // techgenix.com/tgwordpress/wp-content/uploads/2019/04/Figure-4.png "data-orig-size =" 592 365 "data-comments-open =" 1 "data-image-meta =" ":" "", "Crédit": "", "camera": "", "caption": "", "created_timestamp": "0", "copyright": "", "FOCAL_LENGTH": "0", "iso" : "0", "shutter_speed": "0", "title": "", "orientation": "0"} "data-image-title =" Figure 4 "data-image-description ="

Tunneling fractionné

"data-medium-file =" http://techgenix.com/tgwordpress/wp-content/uploads/2019/04/Figure-4-300×185.png "data-large-file =" http://techgenix.com /tgwordpress/wp-content/uploads/2019/04/Figure-4.png "class =" aligncenter wp-image-989331 "src =" http://techgenix.com/tgwordpress/wp-content/uploads/2019/ 04 / Figure-4.png "alt =" Split Tunneling "width =" 827 "height =" 510 "/>

  1. Cliquez sur Détection de réseau approuvé (facultatif).
  2. Entrez le suffixe DNS associé au réseau interne.
  3. Cliquez sur Ajouter.

<img data-attachment-id = "989332" data-permalink = "http://techgenix.com/always-on-vpn-configuration/figure-5-6/" data-orig-file = "http: // tech-data-image-meta = "" ":" 0 "," credit ":" "," camera ":" "," caption ":" "," created_timestamp ":" 0 "," copyright ":" "," FOCAL_LENGTH ":" 0 "," iso ":" 0 "," shutter_speed ":" 0 "," titre ":" "," orientation ":" 0 "}" data-image-title = "Figure 5 "data-image-description ="

Détection de réseau confiant

"data-medium-file =" http://techgenix.com/tgwordpress/wp-content/uploads/2019/04/Figure-5-300×145.png "data-large-file =" http://techgenix.com /tgwordpress/wp-content/uploads/2019/04/Figure-5.png "class =" aligncenter wp-image-989332 "src =" http://techgenix.com/tgwordpress/wp-content/uploads/2019/ 04 / Figure-5.png "alt =" "width =" 859 "height =" 415 "/>

  1. Cliquez deux fois sur OK, puis sur Créer pour créer toujours sur le profil VPN.

Vous avez terminé!

MITCH: C'est génial, même un idiot comme moi peut le suivre! OK, veuillez maintenant nous montrer comment en distribuer un sur un profil VPN avec Intune.

RICHARD: C'est simple. Une fois le profil VPN créé, suivez les étapes ci-dessous pour attribuer le profil de périphérique client:

  1. Cliquez sur tâches.
  2. Sélectionnez les groupes sélectionnés dans la liste déroulante Affecter.
  3. Cliquez sur Sélectionner les groupes à inclure.
  4. Cliquez sur le bon public.
  5. Cliquez sur Sélectionner.
  6. Cliquez sur Enregistrer.

<img data-attachment-id = "989333" data-permalink = "http://techgenix.com/always-on-vpn-configuration/figure-6-6/" data-orig-file = "http: // techgenix.com/tgwordpress/wp-content/uploads/2019/04/Figure-6.png "data-orig-size =" 874,419 "data-comments-open =" 1 "data-image-meta =" ":" "", "Crédit": "", "camera": "", "caption": "", "created_timestamp": "0", "copyright": "", "FOCAL_LENGTH": "0", "iso" : "0", "shutter_speed": "0", "title": "", "orientation": "0"} "data-image-title =" Figure 6 "data-image-description ="

Toujours sur les tâches VPN

"data-medium-file =" http://techgenix.com/tgwordpress/wp-content/uploads/2019/04/Figure-6-300×144.png "data-large-file =" http://techgenix.com /tgwordpress/wp-content/uploads/2019/04/Figure-6.png "class =" aligncenter wp-image-989333 "src =" http://techgenix.com/tgwordpress/wp-content/uploads/2019/ 04 / Figure-6.png "alt =" "width =" 1078 "height =" 516 "/>

MITCH: Existe-t-il des options avancées que vous pouvez utiliser avec Intune pour configurer à tout jamais le VPN?

RICHARD: Il existe de nombreuses options avancées pour Always On VPN. Les paramètres suivants peuvent également être activés avec Intune:

  • Protection des informations Windows (WIP).
  • code de la route réseau.
  • Accès conditionnel.
  • Connexion unique (SSO).
  • Configuration du serveur proxy.

MITCH: Merci beaucoup! Par conséquent, les entreprises utilisant DirectAccess doivent-elles désormais le remplacer par Always On VPN?

RICHARD: Eh bien, Microsoft n’investit plus dans DirectAccess et aucune nouvelle fonctionnalité n’a été introduite depuis l’introduction de Windows Server 2012. Toutefois, DirectAccess n’a pas été officiellement amorti et sera pleinement pris en charge pendant toute la durée de vie de Windows Server 2019. Toujours sur le réseau privé virtuel (VPN) C'est clairement l'avenir, et Microsoft y investit.

Toutefois, le choix de DirectAccess ou de l'option Toujours sur VPN dépend de nombreux facteurs. Si l'entreprise recherche des fonctionnalités de sécurité avancées et un support de gestion moderne, la solution est le VPN permanent. Si votre organisation utilise toujours Active Directory et la gestion des stratégies de groupe localisés avec les clients Windows 10 Enterprise Edition, DirectAccess peut toujours être déployé s'il répond à vos besoins.

Et DirectAccess existe depuis longtemps mais commence à montrer son âge. Windows 10 Always on VPN s'intègre facilement à Microsoft Azure et prend en charge de nombreuses fonctionnalités avancées non disponibles avec DirectAccess. Always on VPN utilise une gestion moderne avec Intune et fonctionne avec toutes les références Windows 10, y compris Professional Edition.

MITCH: Merci, Richard. Pouvons-nous finir par pointer vers des ressources supplémentaires où nos lecteurs peuvent toujours en apprendre davantage sur le VPN?

RICHARD: Certainement, consultez ces liens:

Vue d'ensemble de Windows 10 Always on VPN

Déployer Windows 10 toujours sur VPN

Toujours sur l'accès conditionnel VPN avec Azure Active Directory

Comparez DirectAccess et toujours sur VPN

MITCH: Merci!

RICHARD: De rien!

L'image sélectionnée: Shutterstock


Messages Vues:
57


signaler cette annonce


Lire la suite


Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.