Serveur d'impression

Comprendre Windows 10 Always On VPN – Serveur d’impression

Le 29 mai 2020 - 7 minutes de lecture

Les réseaux privés virtuels (VPN) sont un moyen courant de permettre aux utilisateurs distants d'accéder en toute sécurité aux ressources derrière un réseau de périmètre. Et comme de plus en plus d'employés doivent travailler à domicile, les organisations doivent fournir un accès à distance efficace mais sécurisé.

Microsoft Windows et Windows Server prennent en charge une variété de technologies VPN différentes. Les plus avancés sont DirectAccess et Windows 10 Always On VPN. Dans cet article, j'examine les avantages de Always On VPN par rapport à DirectAccess et je présente l'infrastructure requise pour déployer Always On VPN.

Windows 10 Always On VPN remplace Microsoft DirectAccess

Microsoft DirectAccess est une technologie de type VPN qui fonctionne de manière transparente pour les utilisateurs finaux. Il garantit que les ordinateurs clients sont toujours connectés au réseau d'entreprise. Mais contrairement aux VPN traditionnels, les utilisateurs n'ont pas besoin d'établir une connexion à un serveur à l'aide d'un client.

DirectAccess est apparu pour la première fois dans Windows Server 2008 R2 pour Windows 7 et Windows 8 Enterprise SKU. Microsoft ne s'est pas engagé à étendre la prise en charge de DirectAccess au-delà du cycle de vie de Windows Server 2019. Il indique que Windows 10 «Always On VPN» devrait être utilisé en remplacement de DirectAccess.

Windows 10 Always On VPN

«Always On VPN» possède toutes les fonctionnalités de DirectAccess, mais il est plus facile à mettre en œuvre, à gérer et à améliorer la sécurité. Always On VPN prend en charge des fonctionnalités telles que l'accès conditionnel et les vérifications de l'état du système à l'aide de Network Policy Server (NPS). Il y a intégration avec Windows Hello Entreprise et Azure Multifactor Authentication, et bien plus encore.

Comment fonctionne Windows 10 Always On VPN?

Always On VPN est une technologie Windows 10 uniquement. Il nécessite la mise à jour anniversaire de Windows 10 (version 1607) ou ultérieure. Mais contrairement à DirectAccess, Always On VPN est pris en charge dans Pro, Enterprise et d'autres SKU Windows 10. Les appareils Windows 10 n'ont pas besoin d'être joints à Windows Server Active Directory (AD), mais pour profiter pleinement des fonctionnalités avancées de Always ON VPN, les appareils doivent être joints à Azure AD.

Indépendant de l'infrastructure

L'un des avantages de Always On VPN est qu'il ne repose pas sur l'utilisation de Windows Server comme périphérique VPN. Les organisations peuvent utiliser Windows Server Routing and Remote Access (RRAS) ou une solution VPN tierce. Les droits d'authentification peuvent être gérés par Windows Server Network Policy Server (NPS) ou un produit RADIUS tiers.

Image # Développer

Comprendre Windows 10 Always On VPN (Crédit d'image: Microsoft)

Le périphérique VPN, qu'il s'agisse de Windows Server RRAS ou d'un produit tiers, doit prendre en charge le routage IKEv2 et LAN. Comme son nom l'indique, Always On VPN est capable de maintenir une connexion persistante entre les clients et le réseau d'entreprise. IKEv2 peut restaurer automatiquement la connectivité en cas d'interruption de la connectivité réseau. Mais un inconvénient de IKEv2 est qu'il pourrait être bloqué par des pare-feu. Les clients VPN ont besoin d'un accès sortant sur les ports UDP 500 et 4500.

Remplacement SSTP

Always On VPN est conçu pour fonctionner avec IKEv2. Mais le protocole SSTP (Secure Socket Tunneling Protocol) peut être configuré comme protocole de secours dans les cas où les clients ne peuvent pas se connecter au périphérique VPN à l'aide d'IKEv2. SSTP transporte le protocole PPP (Point-to-Point Protocol) via un canal sécurisé à l'aide du port TCP 433. Il s'agit du même port que celui utilisé pour HTTPS, il est donc toujours ouvert en sortie sur les pare-feu.

Mais dans la pratique, l'utilisation de SSTP comme protocole de secours avec Always On VPN ne fonctionne pas aussi bien. SSTP n'est pas aussi sécurisé que IKEv2. Et Always On VPN ne prend pas en charge Device Tunnel lorsqu'il est utilisé avec SSTP. De plus, le comportement par défaut lorsque les clients VPN sont configurés pour choisir automatiquement un protocole VPN est d'utiliser SSTP.

La gestion

Always On VPN est conçu pour être géré avec Mobile Device Management (MDM), en particulier Microsoft Intune. Mais il est possible d'utiliser des plates-formes MDM tierces ou Microsoft Endpoint Configuration Manager, précédemment connu sous le nom de System Center Configuration Manager (SCCM). Il n'est pas possible de gérer Always On VPN à l'aide de la stratégie de groupe Active Directory.

Fonctionnalités avancées

Il existe des fonctionnalités avancées facultatives que vous pouvez utiliser avec Always On VPN.

  • Filtrage du trafic
  • VPN déclenché par une application
  • Accès conditionnel et conformité des appareils

Les filtres de trafic VPN contrôlent les applications auxquelles les clients Windows 10 peuvent accéder en utilisant Always On VPN. Les politiques de routage sont granulaires et permettent aux organisations de contrôler la façon dont les applications métiers se connectent au réseau d'entreprise. IPv4 et IPv6 sont tous deux pris en charge. Il n'y a pas de dépendance spécifique à IPv6, qui était une exigence pour Microsoft DirectAccess. Les filtres de trafic VPN incluent des règles basées sur les applications et basées sur le trafic.

Le VPN déclenché par une application utilise des profils VPN pour déclencher une connexion uniquement lorsque certaines applications ou certains types d'applications démarrent. L'accès conditionnel et la conformité des appareils peuvent être déployés pour exiger que les appareils gérés par votre organisation répondent à certaines exigences. L'accès conditionnel nécessite Azure Active Directory Premium.

De nombreuses autres améliorations sont fournies avec Always On VPN. Y compris la détection de réseau de confiance et le tunnel d'appareil. La détection de réseau sécurisé empêche la connectivité VPN si l'appareil se trouve sur un réseau d'entreprise approuvé. Device Tunnel permet à Windows 10 d'établir une connexion VPN avant la connexion de l'utilisateur. Le tunnel utilisateur et le tunnel périphérique sont configurés à l'aide de profils VPN indépendants et peuvent être connectés en même temps.

Pour une liste complète des améliorations apportées à Windows 10 Always On VPN, consultez le site Web de Microsoft ici.

Windows 10 Always On VPN est idéal pour le travail à domicile

Always On VPN est une bonne option pour les organisations qui souhaitent que leurs employés travaillent à domicile. Il est plus sécurisé que les solutions VPN héritées, il n’exige pas que les utilisateurs «établissent» manuellement les connexions, il est plus facile à gérer que DirectAccess et il est plus fiable sur les mauvaises connexions réseau. Les organisations peuvent également utiliser Always On VPN avec un périphérique VPN tiers à condition qu'il réponde à certaines exigences de base.

Mais si vous voulez que les utilisateurs puissent travailler de n'importe où, comme des cafés ou des chambres d'hôtel, l'option de repli SSTP est loin d'être idéale. J'espère que Microsoft résoudra certains des problèmes avec Always On VPN dans les futures versions de Windows 10. Mais pour l'instant, avant de prendre une décision, réfléchissez bien à vos objectifs et si l'utilisation de deux protocoles avec Always On VPN fonctionnera pour votre organisation .

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.