Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met AlwaysOn VPN kunt u het volgende doen:
Maak geavanceerde scenario's door Windows-besturingssystemen en oplossingen van derden te integreren. Zie Ondersteunde integraties voor een lijst met ondersteunde integraties.
Netwerkbeveiliging onderhouden, verbindingen beperken door verkeerstypen, toepassingen en verificatiemethoden. Zie Beveiligingsfuncties voor een lijst met AlwaysOn VPN-beveiligingsfuncties.
Configureer automatische triggering voor geverifieerde gebruikers- en apparaatverbindingen. Zie Connectiviteitsfuncties voor meer informatie.
Beheer uw netwerk door routeringsbeleid op gedetailleerd niveau te maken; zelfs tot aan de afzonderlijke toepassing. Zie Netwerkfuncties voor meer informatie.
Configureer uw VPN-instellingen met een standaard XML-profiel (ProfileXML) dat wordt gedefinieerd door een standaardconfiguratiesjabloon voor de industrie. U kunt uw VPN-instellingen implementeren en beheren met Windows PowerShell, Microsoft Endpoint Configuration Manager, Intune, Windows Configuration Designer of een MDM-hulpprogramma (Mobile Device Management) van derden.
Ondersteunde integraties
AlwaysOn VPN biedt ondersteuning voor apparaten die lid zijn van een domein, niet aan een domein zijn toegevoegd (werkgroep) of aan Microsoft Entra ID gekoppelde apparaten om zowel bedrijfs- als BYOD-scenario's mogelijk te maken. AlwaysOn VPN is beschikbaar in alle Windows-edities en de platformfuncties zijn beschikbaar voor derden via UWP VPN-invoegtoepassingsondersteuning.
AlwaysOn VPN ondersteunt integratie met de volgende platforms:
Windows Information Protection (WIP). Integratie met WIP maakt het afdwingen van netwerkbeleid mogelijk om te bepalen of verkeer via het VPN mag worden uitgevoerd. Als het gebruikersprofiel actief is en WIP-beleid wordt toegepast, wordt AlwaysOn VPN automatisch geactiveerd om verbinding te maken. Wanneer u WIP gebruikt, hoeft u ook geen afzonderlijke regels op te geven
AppTriggerListinTrafficFilterListhet VPN-profiel (tenzij u meer geavanceerde configuratie wilt) omdat de WIP-beleidsregels en toepassingslijsten automatisch van kracht worden.Windows Hello voor Bedrijven. AlwaysOn VPN biedt systeemeigen ondersteuning voor Windows Hello voor Bedrijven in de verificatiemodus op basis van certificaten. De systeemeigen Windows Hello-ondersteuning biedt een naadloze ervaring voor eenmalige aanmelding voor zowel aanmelding bij de computer als verbinding met het VPN. Er is geen secundaire verificatie (gebruikersreferenties) nodig voor de VPN-verbinding.
Microsoft Azure-platform voor voorwaardelijke toegang. De AlwaysOn VPN-client kan worden geïntegreerd met het Azure-platform voor voorwaardelijke toegang om meervoudige verificatie (MFA), apparaatcompatibiliteit of een combinatie van de twee af te dwingen. Wanneer dit voldoet aan het beleid voor voorwaardelijke toegang, geeft Microsoft Entra ID een kortlevend (standaard zestig minuten) IP-beveiligingscertificaat (IPsec) uit. Het IPSec-certificaat kan vervolgens worden gebruikt om te verifiëren bij de VPN-gateway. Apparaatnaleving maakt gebruik van Configuration Manager-/Intune-nalevingsbeleid, dat de statusverklaring van het apparaat kan omvatten als onderdeel van de nalevingscontrole van de verbinding. Zie VPN en voorwaardelijke toegang voor meer informatie
Microsoft Entra multifactor authentication platform. In combinatie met RADIUS-services (Remote Authentication Dial-In User Service) en de NPS-extensie (Network Policy Server) voor Meervoudige Verificatie van Microsoft Entra, kan VPN-verificatie sterke MFA gebruiken.
VPN-invoegtoepassingen van derden. Met het Universal Windows Platform (UWP) kunnen EXTERNE VPN-providers één toepassing maken voor het volledige scala aan Windows-apparaten. De UWP biedt een gegarandeerde kern-API-laag op alle apparaten, waardoor de complexiteit van en problemen die vaak worden geassocieerd met het schrijven van stuurprogramma's op kernelniveau, wordt geëlimineerd. Momenteel bestaan Windows UWP VPN-invoegtoepassingen voor Pulse Secure, F5 Access, Check Point Capsule VPN, FortiClient, SonicWall Mobile Connect en GlobalProtect.
Beveiligingsfuncties
AlwaysOn VPN biedt connectiviteit met bedrijfsbronnen met behulp van tunnelbeleid dat verificatie en versleuteling vereist totdat ze de VPN-gateway bereiken. Standaard worden de tunnelsessies beëindigd op de VPN-gateway, die ook fungeert als de IKEv2-gateway, waardoor end-to-edge-beveiliging wordt geboden.
Zie VPN-verificatieopties voor meer informatie over standaard-VPN-verificatieopties.
AlwaysOn VPN ondersteunt de volgende beveiligingsfuncties:
Ondersteuning voor het industriestandaard IKEv2 VPN-protocol. De AlwaysOn VPN-client ondersteunt IKEv2, een van de meest gebruikte protocollen voor tunneling volgens industriestandaard. Deze compatibiliteit maximaliseert de interoperabiliteit met VPN-gateways van derden.
Interoperabiliteit met IKEv2 VPN-gateways van derden. De AlwaysOn VPN-client ondersteunt interoperabiliteit met IKEv2 VPN-gateways van derden. U kunt ook interoperabiliteit bereiken met VPN-gateways van derden met behulp van een UWP VPN-invoegtoepassing in combinatie met een aangepast tunnelingtype zonder dat dit ten koste gaat van de functies en voordelen van het AlwaysOn VPN-platform.
Note
Neem contact op met de leverancier van uw gateway of derde partij back-endapparaat voor configuraties en compatibiliteit met Always On VPN en Device Tunnel via IKEv2.
Terugvallen naar SSTP vanaf IKEv2. U kunt terugval configureren voor clients die zich achter firewalls of proxyservers bevinden met behulp van het automatische tunnel-/protocoltype in het VPN-profiel.
Note
User Tunnel ondersteunt SSTP en IKEv2 en Device Tunnel ondersteunt alleen IKEv2, zonder ondersteuning voor SSTP-terugval.
Ondersteuning voor verificatie van computercertificaten. Het IKEv2-protocoltype dat beschikbaar is als onderdeel van het AlwaysOn VPN-platform ondersteunt specifiek het gebruik van computer- of computercertificaten voor VPN-verificatie.
Note
IKEv2 is het enige ondersteunde protocol voor Device Tunnel en er is geen ondersteuningsoptie voor SSTP-terugval. Zie een AlwaysOn VPN-apparaattunnel configureren voor meer informatie.
Verkeer en app-filters. Met regels voor verkeer en app-firewall kunt u beleidsregels aan de clientzijde opgeven die bepalen welk verkeer en welke apps verbinding mogen maken met de VPN-interface.
Er zijn twee typen filterregels beschikbaar:
Regels op basis van apps. Firewallregels op basis van apps zijn gebaseerd op een lijst met opgegeven toepassingen, zodat alleen verkeer dat afkomstig is van deze apps, de VPN-interface mag doorlopen.
Regels op basis van verkeer. Firewallregels op basis van verkeer zijn gebaseerd op netwerkvereisten, zoals poorten, adressen en protocollen. Gebruik deze regels alleen voor verkeer dat aan deze specifieke voorwaarden voldoet en over de VPN-interface mag worden geleid.
Note
Deze regels zijn alleen van toepassing op uitgaand verkeer vanaf het apparaat. Het gebruik van verkeersfilters blokkeert binnenkomend verkeer van het bedrijfsnetwerk naar de client.
Voorwaardelijke toegang voor VPN. Voor voorwaardelijke toegang en apparaatcompatibiliteit kunnen beheerde apparaten voldoen aan standaarden voordat ze verbinding kunnen maken met het VPN. Met voorwaardelijke toegang voor VPN kunt u de VPN-verbindingen beperken tot de apparaten waarvan het clientverificatiecertificaat de OID voor voorwaardelijke toegang van
1.3.6.1.4.1.311.87Microsoft Entra bevat. Zie VPN-voorwaardelijke toegang configureren op de Netwerkbeleidsserver voor meer informatie over het rechtstreeks beperken van de VPN-verbindingen op de NPS-server. Zie Voorwaardelijke toegang voor VPN-connectiviteit met Microsoft Entra ID voor meer informatie over hoe u de VPN-verbindingen kunt beperken met Microsoft Entra Conditional Access.Externe toegang beperken tot specifieke gebruikers en apparaten. U kunt AlwaysOn VPN configureren ter ondersteuning van gedetailleerde autorisatie bij het gebruik van RADIUS, waaronder het gebruik van beveiligingsgroepen voor het beheren van VPN-toegang.
Definieer toegankelijke beheerservers voordat gebruikers zich aanmelden. Gebruik de functie Device Tunnel (alleen beschikbaar in versie 1709 – voor IKEv2) in het VPN-profiel in combinatie met verkeersfilters om te bepalen welke beheersystemen in het bedrijfsnetwerk toegankelijk zijn via de Apparaattunnel.
Note
Als u verkeersfilters in het apparaattunnelprofiel inschakelt, weigert de apparaattunnel binnenkomend verkeer (van het bedrijfsnetwerk naar de client).
VPN per app. VPN per app lijkt op het hebben van een app-verkeersfilter, maar het gaat verder om toepassingstriggers te combineren met een op apps gebaseerd verkeersfilter, zodat VPN-connectiviteit wordt beperkt tot een specifieke toepassing in plaats van alle toepassingen op de VPN-client. De functie wordt automatisch gestart wanneer de app wordt gestart.
Aangepaste IPsec-cryptografiealgoritmen. AlwaysOn VPN ondersteunt het gebruik van zowel RSA als elliptische curvecryptografie op basis van aangepaste cryptografische algoritmen om te voldoen aan strikt overheids- of organisatiebeveiligingsbeleid.
Systeemeigen EAP-ondersteuning (Extensible Authentication Protocol). AlwaysOn VPN biedt systeemeigen ondersteuning voor EAP, waarmee u een diverse set EAP-typen van Microsoft en derden kunt gebruiken als onderdeel van de verificatiewerkstroom. EAP biedt veilige verificatie op basis van de volgende verificatietypen:
- Gebruikersnaam en wachtwoord
- Smartcard (zowel fysiek als virtueel)
- Gebruikerscertificaten
- Windows Hello voor Bedrijven
- MFA-ondersteuning via EAP RADIUS-integratie
De leverancier van de toepassing beheert verificatiemethoden voor VPN-invoegtoepassingen van derden, hoewel ze een scala aan beschikbare opties hebben, waaronder aangepaste referentietypen en OTP-ondersteuning.
Windows Hello voor Bedrijven tweeledige verificatie op pc's en mobiele apparaten. In Windows 10 vervangt Windows Hello voor Bedrijven wachtwoorden door sterke tweeledige verificatie te bieden op pc's en mobiele apparaten. Zie Externe toegang inschakelen met Windows Hello voor Bedrijven in Windows 10 voor meer informatie
Meervoudige verificatie van Azure (MFA). Microsoft Entra multi-factor authentication heeft cloud- en on-premises versies die u kunt integreren met het Windows VPN-verificatiemechanisme. Zie RADIUS-verificatie integreren met Azure Multi-Factor Authentication-server voor meer informatie.
Tpm-sleutelverklaring (Trusted Platform Module). Een gebruikerscertificaat met een TPM-geattesteerde sleutel biedt een hogere zekerheid, ondersteund door de niet-exporteerbaarheid, anti-hammering, en isolatie van sleutels die door de TPM wordt geleverd.
Zie TPM-sleutelverklaring in Windows 10 voor meer informatie over TPM-sleutelattest.
Connectiviteitsfuncties
AlwaysOn VPN ondersteunt de volgende connectiviteitsfuncties:
Automatisch activeren van toepassingen. U kunt Always On VPN configureren om automatisch te activeren op basis van aanvragen voor het starten van toepassingen of naamruimte-resolutieverzoeken. Zie voor meer informatie over het configureren van automatische triggering de opties voor automatisch geactiveerde VPN-profielen.
Automatisch activeren op basis van naam. Met AlwaysOn VPN kunt u regels definiëren zodat specifieke domeinnaamquery's de VPN-verbinding activeren. Windows-apparaten bieden ondersteuning voor op naam gebaseerde triggers voor computers die lid zijn van een domein en computers die niet aan het domein zijn toegevoegd (voorheen werden alleen niet-gekoppelde computers ondersteund).
Vertrouwde netwerkdetectie. AlwaysOn VPN bevat deze functie om ervoor te zorgen dat VPN-connectiviteit niet wordt geactiveerd als een gebruiker is verbonden met een vertrouwd netwerk binnen de bedrijfsgrens. U kunt deze functie combineren met een van de eerder genoemde triggermethoden om een naadloze 'alleen verbinding te maken wanneer dat nodig is' gebruikerservaring te bieden.
Apparaattunnel. AlwaysOn VPN biedt u de mogelijkheid om een toegewezen VPN-profiel te maken voor een apparaat of computer. In tegenstelling tot User Tunnel, die alleen verbinding maakt nadat een gebruiker zich heeft aangemeld bij het apparaat of de computer, kan de VPN verbinding maken voordat de gebruiker zich aanmeldt. Zowel apparaattunnel als gebruikerstunnel werken onafhankelijk met hun VPN-profielen, kunnen tegelijkertijd worden verbonden en kunnen verschillende verificatiemethoden en andere VPN-configuratie-instellingen gebruiken, indien van toepassing. Zie Een AlwaysOn VPN-apparaattunnel configureren voor informatie over het configureren van een apparaattunnel, inclusief informatie over het gebruik van beheer om client-IP-adressen dynamisch te registreren in DNS.
Note
Apparaattunnel kan alleen worden geconfigureerd op apparaten die lid zijn van een domein met Windows 10 Enterprise of Education versie 1709 of hoger. Er is geen ondersteuning voor het beheer van derden over de apparaattunnel.
Connectiviteitsassistent AlwaysOn VPN is volledig geïntegreerd met de systeemeigen netwerkconnectiviteitsassistent en biedt connectiviteitsstatus vanuit de interface Alle netwerken weergeven. Met de komst van de Windows 10 Creators Update (versie 1703) zijn de status van de VPN-verbinding en het VPN-verbindingsbeheer voor de gebruikerstunnel beschikbaar via de Netwerkflyout (voor de ingebouwde Windows VPN-client).
Netwerkfuncties
AlwaysOn VPN ondersteunt de volgende netwerkfuncties:
Dual-stack-ondersteuning voor IPv4 en IPv6. AlwaysOn VPN biedt systeemeigen ondersteuning voor het gebruik van zowel IPv4 als IPv6 in een benadering met twee stacks. Het heeft geen specifieke afhankelijkheid van het ene protocol ten opzichte van het andere, waardoor maximale compatibiliteit van IPv4-/IPv6-toepassingen mogelijk is in combinatie met ondersteuning voor toekomstige IPv6-netwerkbehoeften.
Toepassingsspecifiek routeringsbeleid. Naast het definiëren van globaal routeringsbeleid voor VPN-verbindingen voor internet- en intranetverkeersscheiding, is het mogelijk om routeringsbeleid toe te voegen om het gebruik van split tunnel- of geforceerde tunnelconfiguraties per toepassing te beheren. Met deze optie hebt u gedetailleerdere controle over welke apps mogen communiceren met welke resources via de VPN-tunnel.
Uitsluitingsroutes. AlwaysOn VPN ondersteunt de mogelijkheid om uitsluitingsroutes op te geven die specifiek het routeringsgedrag bepalen om te bepalen welk verkeer alleen het VPN moet passeren en niet via de fysieke netwerkinterface gaat.
Note
Uitsluitingsroutes werken voor verkeer binnen hetzelfde subnet als de client, zoals LinkLocal. Uitsluitingsroutes werken alleen in een Split Tunnel-configuratie.
Ondersteuning voor meerdere domeinen en bosomgevingen. Het Always On VPN-platform heeft geen afhankelijkheid van Active Directory Domain Services (AD DS)-forests of domeintopologie (of gekoppelde functionele/schemaniveaus), omdat de VPN-client niet aan een domein hoeft te zijn gekoppeld om te functioneren. Groepsbeleid is daarom geen afhankelijkheid voor het definiëren van VPN-profielinstellingen, omdat u deze niet gebruikt tijdens de clientconfiguratie. Waar Active Directory-autorisatie-integratie is vereist, kunt u dit bereiken via RADIUS als onderdeel van het EAP-verificatie- en autorisatieproces.
Naamomzetting van bedrijfsbronnen met behulp van een korte naam, fully qualified domain name (FQDN) en DNS-achtervoegsel. AlwaysOn VPN kan systeemeigen een of meer DNS-achtervoegsels definiëren als onderdeel van het VPN-verbindings- en IP-adrestoewijzingsproces, inclusief bedrijfsresourcenaamomzetting voor korte namen, FQDN's of volledige DNS-naamruimten. AlwaysOn VPN biedt ook ondersteuning voor het gebruik van naamomzettingsbeleidstabellen om granulariteit voor naamruimtespecifieke omzetting te bieden.
Note
Vermijd het gebruik van globale suffixen omdat ze de kortenaamresolutie verstoren bij het gebruik van tabellen voor naamresolutiebeleid.
Functies voor hoge beschikbaarheid
Hieronder volgen meer opties voor hoge beschikbaarheid.
Servertolerantie en taakverdeling. In omgevingen die hoge beschikbaarheid vereisen of grote aantallen aanvragen ondersteunen, kunt u de prestaties en tolerantie van Externe toegang verhogen door taakverdeling te configureren tussen NETWERKbeleidsservers (NPS) en door RAS-serverclustering in te schakelen.
Geografische locatieveerkracht. Voor geolocatie op basis van IP kunt u Global Traffic Manager gebruiken met DNS in Windows Server. Voor robuustere geografische taakverdeling kunt u globale servertaakverdelingsoplossingen gebruiken, zoals Microsoft Azure Traffic Manager.
AlwaysOn VPN-verbindingsproces
Het proces bestaat uit de volgende stappen:
De Windows VPN-client maakt gebruik van een openbare DNS-server om een naamomzettingsquery uit te voeren voor het IP-adres van de VPN-gateway.
De VPN-client gebruikt het IP-adres dat door DNS wordt geretourneerd om een verbindingsaanvraag naar de VPN-gateway te verzenden.
De VPN-server is ook geconfigureerd als een RADIUS-client (Remote Authentication Dial-In User Service). de VPN RADIUS-client verzendt de verbindingsaanvraag naar de NPS-server voor verwerking van verbindingsaanvragen.
De NPS-server verwerkt de verbindingsaanvraag, inclusief het uitvoeren van autorisatie en verificatie, en bepaalt of de verbindingsaanvraag moet worden toegestaan of geweigerd.
De NPS-server stuurt een Access-Accept of Access-Deny antwoord door naar de VPN-server.
De verbinding wordt gestart of beëindigd op basis van het antwoord dat de VPN-server van de NPS-server heeft ontvangen.
Volgende stappen
VPN-beveiligingsfuncties: Dit onderwerp bevat een overzicht van VPN-beveiligingsrichtlijnen voor LockDown VPN, Windows Information Protection (WIP)-integratie met VPN en verkeersfilters.
Opties voor automatisch geactiveerd VPN-profiel: in dit onderwerp vindt u een overzicht van automatisch geactiveerde VPN-profielopties, zoals app-trigger, op naam gebaseerde trigger en AlwaysOn.
Problemen met AlwaysOn VPN- oplossen