Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zawsze włączona sieć VPN umożliwia:
Tworzenie zaawansowanych scenariuszy dzięki integracji systemów operacyjnych Windows i rozwiązań innych firm. Aby uzyskać listę obsługiwanych integracji, zobacz Obsługiwane integracje.
Zachowaj zabezpieczenia sieci, ograniczając połączenie według typów ruchu, aplikacji i metod uwierzytelniania. Aby uzyskać listę funkcji zabezpieczeń zawsze włączonych sieci VPN, zobacz Funkcje zabezpieczeń.
Skonfiguruj automatyczne wyzwalanie dla połączeń uwierzytelnionych przez użytkownika i urządzenie. Aby uzyskać więcej informacji, zobacz Funkcje łączności.
Kontroluj swoją sieć, tworząc zasady routingu na poziomie szczegółowym, nawet na poziomie pojedynczej aplikacji. Aby uzyskać więcej informacji, zobacz Funkcje sieciowe.
Skonfiguruj ustawienia sieci VPN przy użyciu standardowego profilu XML (ProfileXML), który jest definiowany przez szablon konfiguracji standardu branżowego. Ustawienia sieci VPN można wdrażać i zarządzać nimi za pomocą programu Windows PowerShell, programu Microsoft Endpoint Configuration Manager, usługi Intune, programu Windows Configuration Designer lub dowolnego narzędzia do zarządzania urządzeniami przenośnymi (MDM) innej firmy.
Obsługiwane integracje
Always On VPN obsługuje urządzenia przyłączone do domeny, nieprzyłączone do domeny (grupa robocza) oraz urządzenia przyłączone do Microsoft Entra ID, aby umożliwić korzystanie zarówno ze scenariuszy przedsiębiorstwa, jak i BYOD. Funkcja Always On VPN jest dostępna we wszystkich edycjach systemu Windows, a funkcje platformy są dostępne dla innych firm dzięki obsłudze rozszerzeń UWP VPN.
Zawsze włączona sieć VPN obsługuje integrację z następującymi platformami:
Windows Information Protection (WIP). Integracja z funkcją WIP umożliwia wymuszanie zasad sieciowych w celu określenia, czy ruch jest dozwolony za pośrednictwem sieci VPN. Jeśli profil użytkownika jest aktywny, a zasady funkcji WIP są stosowane, zawsze włączona sieć VPN zostanie automatycznie wyzwolona w celu nawiązania połączenia. Ponadto w przypadku korzystania z funkcji WIP nie ma potrzeby określania reguł
AppTriggerListiTrafficFilterListoddzielnie w profilu sieci VPN (chyba że chcesz uzyskać bardziej zaawansowaną konfigurację), ponieważ zasady funkcji WIP i listy aplikacji zostaną zastosowane automatycznie.Windows Hello dla Firm. Zawsze Włączona Sieć VPN natywnie obsługuje funkcję Windows Hello dla Firm w trybie uwierzytelniania opartego na certyfikatach. Natywna obsługa funkcji Windows Hello zapewnia bezproblemowe jednokrotne logowanie zarówno do urządzenia, jak i połączenia z siecią VPN. W przypadku połączenia sieci VPN nie jest wymagane żadne uwierzytelnianie pomocnicze (poświadczenia użytkownika).
platformy dostępu warunkowego platformy Microsoft Azure. Klient zawsze włączonej sieci VPN może zintegrować się z platformą dostępu warunkowego platformy Azure w celu wymuszania uwierzytelniania wieloskładnikowego (MFA), zgodności urządzeń lub kombinacji tych dwóch. W przypadku zgodności z zasadami dostępu warunkowego Microsoft Entra ID wystawia krótkoterminowy certyfikat uwierzytelniania IP (IPsec), ważny domyślnie przez sześćdziesiąt minut. Następnie certyfikat IPSec może służyć do uwierzytelniania w bramie sieci VPN. Zgodność urządzenia korzysta z zasad zgodności programu Configuration Manager/Intune, które mogą obejmować stan atestacji kondycji urządzenia w ramach sprawdzania zgodności połączenia. Aby uzyskać więcej informacji, zobacz sieć VPN i dostęp warunkowy
platformy uwierzytelniania wieloskładnikowego firmy Microsoft. W połączeniu z usługami zdalnej usługi uwierzytelniania Dial-In (RADIUS) i rozszerzeniem serwera zasad sieciowych (NPS) dla uwierzytelniania wieloskładnikowego firmy Microsoft, uwierzytelnianie sieci VPN może używać silnego uwierzytelniania wieloskładnikowego.
wtyczki sieci VPN innych firm. za pomocą platformy uniwersalnej systemu Windows (UWP) dostawcy sieci VPN innych firm mogą utworzyć jedną aplikację dla pełnego zakresu urządzeń z systemem Windows. Platforma UWP zapewnia gwarantowaną podstawową warstwę interfejsu API na różnych urządzeniach, eliminując złożoność i problemy często związane z pisaniem sterowników na poziomie jądra. Obecnie istnieją wtyczki VPN dla platformy UWP systemu Windows dla Pulse Secure, F5 Access, Check Point Capsule VPN, FortiClient, SonicWall Mobile Connect i GlobalProtect.
Funkcje zabezpieczeń
Usługa VPN Always On zapewnia łączność z zasobami korporacyjnymi za pomocą zasad tunelowania, które wymagają uwierzytelniania i szyfrowania, aż dotrą do bramy sieci VPN. Domyślnie sesje tunelu kończą się w bramie sieci VPN, która działa również jako brama IKEv2, zapewniając kompleksowe zabezpieczenia.
Aby uzyskać szczegółowe informacje na temat standardowych opcji uwierzytelniania sieci VPN, zobacz opcje uwierzytelniania sieci VPN.
Zawsze włączona sieć VPN obsługuje następujące funkcje zabezpieczeń:
Obsługa protokołu IKEv2 VPN zgodnego z branżowymi standardami. Klient zawsze włączonej sieci VPN obsługuje protokół IKEv2, jeden z obecnie najczęściej używanych standardowych protokołów tunelowania w branży. Ta zgodność maksymalizuje współdziałanie z bramami sieci VPN innych firm.
Współdziałanie z bramami IKEv2 VPN innych firm. Klient Always On VPN obsługuje współdziałanie z bramami VPN innych firm. Można również osiągnąć współdziałanie z bramami sieci VPN innych firm przy użyciu wtyczki sieci VPN platformy UWP połączonej z niestandardowym typem tunelowania bez poświęcania funkcji i korzyści platformy VPN Always On.
Note
Skontaktuj się z dostawcą bramy sieciowej lub urządzenia zaplecza sieciowego innej firmy w sprawie konfiguracji i zgodności z Always On VPN i tunelem urządzenia przy użyciu protokołu IKEv2.
Przejdź z powrotem na protokół SSTP z protokołu IKEv2. Można skonfigurować powrót dla klientów znajdujących się za zaporami lub serwerami proxy przy użyciu automatycznego typu tunelu/protokołu w profilu sieci VPN.
Note
Tunel użytkownika obsługuje protokoły SSTP i IKEv2, a Tunel urządzenia obsługuje tylko protokół IKEv2, bez wsparcia dla przełączania awaryjnego na SSTP.
Obsługa uwierzytelniania certyfikatu komputera. Typ protokołu IKEv2 dostępny w ramach platformy Always On VPN obsługuje w szczególności korzystanie z certyfikatów urządzenia lub komputera na potrzeby uwierzytelniania sieci VPN.
Note
Protokół IKEv2 jest jedynym obsługiwanym protokołem dla Device Tunnel i nie ma możliwości użycia rezerwowego protokołu SSTP. Aby uzyskać więcej informacji, zobacz Skonfiguruj tunel urządzenia VPN Always On.
Filtry ruchu i aplikacji. Za pomocą reguł zapory ruchu i aplikacji można określić zasady po stronie klienta, które określają, który ruch i aplikacje mogą łączyć się z interfejsem sieci VPN.
Dostępne są dwa typy reguł filtrowania:
Reguły oparte na aplikacjach. Reguły zapory oparte na aplikacjach są oparte na liście określonych aplikacji, dzięki czemu tylko ruch pochodzący z tych aplikacji może przechodzić przez interfejs sieci VPN.
Reguły oparte na ruchu. Reguły zapory oparte na ruchu są oparte na wymaganiach sieciowych, takich jak porty, adresy i protokoły. Te reguły są używane tylko dla ruchu zgodnego z tymi określonymi warunkami, który jest dozwolony do przechodzenia przez interfejs VPN.
Note
Te reguły dotyczą tylko ruchu wychodzącego z urządzenia. Użycie filtrów ruchu blokuje ruch przychodzący z sieci firmowej do klienta.
Dostęp warunkowy sieci VPN. Dostęp warunkowy i zgodność urządzeń mogą wymagać, aby urządzenia zarządzane spełniały standardy, zanim będą mogły nawiązać połączenie z siecią VPN. Dostęp warunkowy VPN umożliwia ograniczenie połączeń VPN do urządzeń, których certyfikat uwierzytelniania klienta zawiera identyfikator OID Microsoft Entra Conditional Access
1.3.6.1.4.1.311.87. Aby dowiedzieć się, jak ograniczyć połączenia sieci VPN bezpośrednio na serwerze NPS, zobacz Konfigurowanie dostępu warunkowego sieci VPN na serwerze zasad sieciowych. Aby dowiedzieć się, jak ograniczyć połączenia sieci VPN za pomocą dostępu warunkowego firmy Microsoft Entra, zobacz dostęp warunkowy do łączności sieci VPN przy użyciuMicrosoft Entra ID.Ogranicz dostęp zdalny do określonych użytkowników i urządzeń. Zawsze włączona sieć VPN umożliwia obsługę szczegółowej autoryzacji w przypadku korzystania z usługi RADIUS, która obejmuje używanie grup zabezpieczeń do kontrolowania dostępu do sieci VPN.
Przed zalogowaniem użytkownika zdefiniuj dostępne serwery zarządzania. Użyj funkcji tunelu urządzenia (dostępnej tylko w wersji 1709 — tylko dla protokołu IKEv2) w profilu sieci VPN w połączeniu z filtrami ruchu, aby kontrolować, które systemy zarządzania w sieci firmowej są dostępne za pośrednictwem tunelu urządzenia.
Note
Jeśli włączysz filtry ruchu w profilu tunelu urządzenia, tunel urządzenia odmówi ruchu przychodzącego (z sieci firmowej do klienta).
VPN dla pojedynczych aplikacji. Sieć VPN dla aplikacji przypomina filtrowanie ruchu opartego na aplikacji, ale idzie dalej, aby połączyć wyzwalacze aplikacji z filtrem ruchu opartego na aplikacji, aby łączność sieci VPN była ograniczona do określonej aplikacji, a nie wszystkich aplikacji na kliencie sieci VPN. Funkcja automatycznie inicjuje się po uruchomieniu aplikacji.
Dostosowane algorytmy kryptografii protokołu IPsec. Zawsze Włączony VPN obsługuje korzystanie zarówno z algorytmów kryptograficznych opartych na RSA, jak i na krzywej eliptycznej, aby spełnić rygorystyczne zasady zabezpieczeń instytucji rządowych lub organizacyjnych.
Natywna obsługa protokołu EAP (Extensible Authentication Protocol). Zawsze włączona sieć VPN natywnie obsługuje protokół EAP, który umożliwia korzystanie z zróżnicowanego zestawu typów protokołu EAP firmy Microsoft i innych firm w ramach przepływu pracy uwierzytelniania. Protokół EAP zapewnia bezpieczne uwierzytelnianie na podstawie następujących typów uwierzytelniania:
- Nazwa użytkownika i hasło
- Karta inteligentna (zarówno fizyczna, jak i wirtualna)
- Certyfikaty użytkownika
- Windows Hello dla firm
- Obsługa uwierzytelniania wieloskładnikowego za pomocą integracji protokołów RADIUS i EAP
Dostawca aplikacji kontroluje metody uwierzytelniania wtyczek VPN UWP dostawców zewnętrznych, a mają oni do wyboru szeroki wachlarz opcji, w tym niestandardowe typy poświadczeń oraz obsługę OTP.
Uwierzytelnianie dwuskładnikowe usługi Windows Hello dla firm na komputerach i urządzeniach przenośnych. W systemie Windows 10 windows Hello dla firm zastępuje hasła, zapewniając silne uwierzytelnianie dwuskładnikowe na komputerach i urządzeniach przenośnych. Aby uzyskać więcej informacji, zobacz Włączanie dostępu zdalnego za pomocą funkcji Windows Hello dla firm w systemie Windows 10
Uwierzytelnianie wieloskładnikowe platformy Azure (MFA). Uwierzytelnianie wieloskładnikowe firmy Microsoft ma wersje chmurowe i lokalne, które można zintegrować z mechanizmem uwierzytelniania sieci VPN systemu Windows. Aby uzyskać więcej informacji, zobacz Integracja uwierzytelniania RADIUS z serwerem uwierzytelniania wieloskładnikowego Azure.
Zaświadczanie klucza modułu TPM (Trusted Platform Module). Certyfikat użytkownika z kluczem poświadczanym przez moduł TPM zapewnia wyższy poziom bezpieczeństwa dzięki nieeksportowalności, ochronie przed atakami siłowymi oraz izolacji kluczy dostarczanych przez moduł TPM.
Aby uzyskać więcej informacji na temat zaświadczania klucza modułu TPM w systemie Windows 10, zobacz zaświadczanie klucza modułu TPM.
Funkcje łączności
Zawsze włączona sieć VPN obsługuje następujące funkcje łączności:
Automatyczne wyzwalanie aplikacji. Możesz skonfigurować Always On VPN do obsługi automatycznego wyzwalania w odpowiedzi na uruchomienie aplikacji lub żądanie rozwiązania przestrzeni nazw. Aby uzyskać więcej informacji na temat konfigurowania wyzwalania automatycznego, zobacz opcje profilu wyzwalanego automatycznie przez sieć VPN.
Automatyczne wyzwalanie oparte na nazwach. W przypadku zawsze włączonej sieci VPN można zdefiniować reguły, aby określone zapytania o nazwę domeny wyzwalały połączenie sieci VPN. Urządzenia z systemem Windows obsługują wyzwalanie oparte na nazwach dla maszyn przyłączonych do domeny i nieprzyłączonych do domeny (wcześniej obsługiwane były tylko maszyny nieprzyłączone do domeny).
Wykrywanie zaufanej sieci. Funkcja Always On VPN obejmuje tę opcję, aby zapewnić, że łączność VPN nie jest inicjowana, jeśli użytkownik jest połączony z zaufaną siecią w granicy firmy. Tę funkcję można połączyć z dowolną z wymienionych wcześniej metod wyzwalania, aby zapewnić bezproblemowe "łączenie tylko w razie potrzeby" doświadczenie użytkownika.
Tunel urządzenia. Zawsze włączona sieć VPN umożliwia utworzenie dedykowanego profilu sieci VPN dla urządzenia lub maszyny. W przeciwieństwie do tunelu użytkownika, który łączy się tylko po zalogowaniu użytkownika do urządzenia lub maszyny, tunel urządzenia umożliwia sieci VPN nawiązanie łączności przed zalogowaniem użytkownika. Tunel urządzenia i tunel użytkownika działają niezależnie z profilami sieci VPN, mogą być połączone w tym samym czasie i mogą używać różnych metod uwierzytelniania i innych ustawień konfiguracji sieci VPN zgodnie z potrzebami. Aby uzyskać informacje na temat konfigurowania tunelu urządzenia, w tym informacji o sposobie dynamicznego rejestrowania adresów IP klienta w systemie DNS za pomocą zarządzania zewnętrznego, zobacz Konfigurowanie zawsze włączonego tunelu urządzenia VPN.
Note
Tunel urządzenia można skonfigurować tylko na urządzeniach przyłączonych do domeny z systemem Windows 10 Enterprise lub Education w wersji 1709 lub nowszej. Nie ma obsługi kontroli Tunelu Urządzenia przez podmioty zewnętrzne.
Asystent łączności Zawsze włączona sieć VPN jest w pełni zintegrowana z natywnym Asystentem łączności sieciowej i zapewnia stan łączności z interfejsu Wyświetl wszystkie sieci. Wraz z pojawieniem się Windows 10 Creators Update (wersja 1703), status połączenia VPN i kontrola połączenia VPN dla User Tunnel są dostępne za pośrednictwem wysuwanego menu Sieć (dla wbudowanego klienta VPN systemu Windows).
Funkcje sieciowe
Zawsze włączona sieć VPN obsługuje następujące funkcje sieciowe:
Obsługa podwójnego stosu dla protokołów IPv4 i IPv6. Always On VPN natywnie obsługuje użycie protokołów IPv4 i IPv6 w metodzie dwutorowej. Nie ma określonej zależności od jednego protokołu przez drugi, co pozwala na maksymalną zgodność aplikacji IPv4/IPv6 w połączeniu z obsługą przyszłych potrzeb sieciowych IPv6.
Zasady routingu specyficzne dla aplikacji. Oprócz definiowania globalnych zasad routingu połączeń sieci VPN dla separacji ruchu internetowego i intranetowego można dodać zasady routingu w celu kontrolowania używania konfiguracji tunelu podzielonego lub wymuszonego tunelu dla poszczególnych aplikacji. Ta opcja zapewnia bardziej szczegółową kontrolę nad tym, które aplikacje mogą wchodzić w interakcje z zasobami za pośrednictwem tunelu VPN.
Trasy wykluczania. Zawsze włączona sieć VPN obsługuje możliwość określania tras wykluczeń, które kontrolują zachowanie routingu w celu zdefiniowania, który ruch powinien przechodzić tylko przez sieć VPN, a nie przez fizyczny interfejs sieciowy.
Note
Trasy wykluczania działają dla ruchu w tej samej podsieci co klient, taki jak LinkLocal. Trasy wykluczeń działają tylko w konfiguracji tunelu podzielonego.
Obsługa wielu domen i lasów. Platforma zawsze włączonej VPN nie ma zależności od lasów usług domenowych Active Directory (AD DS) ani topologii domeny (lub związanych z nimi poziomów funkcjonalności i schematów), ponieważ do działania nie wymaga przyłączenia klienta VPN do domeny. W związku z tym zasady grupy nie są zależnością do definiowania ustawień profilu sieci VPN, ponieważ nie są używane podczas konfiguracji klienta. Jeśli wymagana jest integracja autoryzacji usługi Active Directory, można ją osiągnąć za pośrednictwem usługi RADIUS w ramach procesu uwierzytelniania i autoryzacji protokołu EAP.
Rozpoznawanie nazw zasobów firmowych przy użyciu krótkiej nazwy, w pełni kwalifikowanej nazwy domeny (FQDN) i sufiksu DNS. Always On VPN może natywnie definiować jeden lub więcej sufiksów DNS w ramach procesu połączenia VPN i przypisywania adresu IP, w tym rozpoznawanie nazw zasobów firmowych dla krótkich nazw, nazw FQDN lub całych przestrzeni nazw DNS. Funkcja Always On VPN wspiera również stosowanie tabel zasad rozpoznawania nazw w celu zapewnienia szczegółowości rozpoznawania specyficznego dla przestrzeni nazw.
Note
Unikaj używania sufiksów globalnych, ponieważ utrudniają one rozpoznawanie nazw podczas korzystania z tablic zasad rozpoznawania nazw.
Funkcje wysokiej dostępności
Poniżej przedstawiono więcej opcji wysokiej dostępności.
Odporność serwera i równoważenie obciążenia. W środowiskach wymagających wysokiej dostępności lub obsługi dużej liczby żądań można zwiększyć wydajność i odporność dostępu zdalnego, konfigurując równoważenia obciążenia między serwerami zasad sieciowych (NPS) i przez włączanie klastrowania serwerów dostępu zdalnego.
Odporność lokacji geograficznej. W przypadku geolokalizacji opartej na adresach IP można użyć usługi Global Traffic Manager z systemem DNS w systemie Windows Server. Aby uzyskać bardziej niezawodne równoważenie obciążenia geograficznego, można użyć rozwiązań globalnego równoważenia obciążenia serwera, takich jak microsoft Azure Traffic Manager.
Proces zawsze włączonego połączenia sieci VPN
Proces składa się z następujących kroków:
Klient sieci VPN systemu Windows używa publicznego serwera DNS do wykonywania zapytania rozpoznawania nazw dla adresu IP bramy sieci VPN.
Klient sieci VPN używa adresu IP zwróconego przez usługę DNS do wysyłania żądania połączenia do bramy sieci VPN.
Serwer sieci VPN jest również skonfigurowany jako klient usługi użytkownika (RADIUS) uwierzytelniania zdalnego; Klient USŁUGI RADIUS sieci VPN wysyła żądanie połączenia do serwera NPS na potrzeby przetwarzania żądań połączenia.
Serwer NPS przetwarza żądanie połączenia, w tym wykonywanie autoryzacji i uwierzytelniania oraz określa, czy zezwalać na żądanie połączenia, czy odmawiać tego żądania.
Serwer NPS przekazuje odpowiedź Access-Accept lub Access-Deny do serwera VPN.
Połączenie jest inicjowane lub przerywane na podstawie odpowiedzi otrzymanej przez serwer sieci VPN z serwera NPS.
Dalsze kroki
samouczek : wdrażanie zawsze włączonej sieci VPN
funkcje zabezpieczeń sieci VPN: ten temat zawiera omówienie wytycznych dotyczących zabezpieczeń sieci VPN dotyczących blokady sieci VPN, integracji funkcji Windows Information Protection (WIP) z siecią VPN i filtrów ruchu.
Opcje profilu automatycznie wyzwalanego przez VPN: Ten temat zawiera omówienie opcji profilu automatycznie wyzwalanego przez VPN, takich jak trigger aplikacji, trigger oparty na nazwie i Always On.