La technologie peut jouer un rôle important dans la réduction de l’impact du COVID-19 sur les personnes et les réalités de l’entreprise, en aidant le personnel à rester productif lorsqu’il ne peut pas être physiquement sur son lieu de travail. En ces jours d’urgence, les entreprises ont été contraintes d’adopter rapidement des solutions efficaces pour permettre à leurs employés de travailler à distance sans sacrifier la collaboration, la productivité et la sécurité. Les solutions qui peuvent être adoptées dans ce domaine sont différentes, chacune ayant ses propres caractéristiques et particularités, capables de répondre à des besoins différents. Cet article présente les principales caractéristiques de la technologie Microsoft Always On VPN, afin d’évaluer les avantages et quels sont les principaux cas d’utilisation de la solution.
Caractéristiques clés de Always On VPN
À partir de Windows Server 2016 et des versions ultérieures, Microsoft a introduit une nouvelle technologie d’accès à distance pour les terminaux, appelée Always On VPN, qui permet un accès transparent au réseau d’entreprise, ce qui la rend particulièrement adaptée aux scénarios de travail intelligent. Il s’agit de l’évolution de la technologie DirectAccess et, bien qu’efficace, elle présentait certaines limitations qui rendaient son adoption difficile.
Comme son nom l’indique, le VPN est « toujours actif », En fait, une connexion sécurisée au réseau de l’entreprise est établie automatiquement dès qu’un client autorisé dispose d’une connexion Internet, le tout sans nécessiter de saisie ou d’interaction de la part de l’utilisateur, à moins qu’un mécanisme d’authentification multifactorielle ne soit activé. Les utilisateurs distants accèdent aux données et aux applications de l’entreprise de la même manière, comme s’ils étaient sur le lieu de travail.
Les connexions VPN toujours actives comprennent les types de tunnels suivants :
- Tunnel de dispositif : le dispositif se connecte au serveur VPN avant que les utilisateurs ne se connectent au dispositif.
- Tunnel utilisateur : il ne s’active qu’après que les utilisateurs se soient connectés au périphérique.
En utilisant Always On VPN, vous pouvez avoir une connexion utilisateur, une connexion périphérique ou une combinaison des deux. Le tunnel de périphérique que le tunnel d’utilisateur ils fonctionnent indépendamment et peuvent utiliser différentes méthodes d’authentification. Il semble donc possible d’activer l’authentification du dispositif pour le gérer à distance via le Device Tunnel, et d’activer l’authentification de l’utilisateur pour la connectivité aux ressources internes via le User Tunnel. Le tunnel utilisateur prend en charge SSTP, et IKEv2, tandis que le tunnel du dispositif ne prend en charge que IKEv2.
Scénarios pris en charge
Technologie Always On VPN est une solution uniquement pour les systèmes Windows 10. Cependant, contrairement à DirectAccess, les appareils clients ne doivent pas nécessairement exécuter l’édition Enterprise, mais toutes les versions de Windows 10 prennent en charge cette technologie, en adoptant le type de tunnel défini User Tunnel. Dans ce scénario, les appareils peuvent être membres d’un domaine Active Directory, mais ce n’est pas strictement nécessaire. Le client Always On VPN peut être non relié à un domaine (groupe de travail), donc également détenu par l’utilisateur. Pour profiter de certaines fonctions avancées, les clients peuvent être joints à Azure Active Directory. Uniquement pour l’utilisation des systèmes Device Tunnel sont nécessaires pour rejoindre un domaine et doivent avoir Windows 10 Enterprise ou Education. Dans ce scénario, la version recommandée est la 1809 ou une version ultérieure.
Exigences d’infrastructure
Les composants d’infrastructure suivants sont nécessaires pour mettre en œuvre une architecture VPN Always On, dont beaucoup sont généralement déjà actifs dans les réalités commerciales :
- Contrôleurs de domaine
- Serveurs DNS
- Serveur de politique réseau (NPS)
- Serveur d’autorité de certification (CA)
- Serveur de routage et d’accès à distance. (RRAS)
Figure 1 – Vue d’ensemble de la technologie VPN Always On
Dans ce contexte, il convient de préciser que le VPN Always On est indépendant de l’infrastructure-.indépendante de l’infrastructure et peut être activée en utilisant le rôle de routage et d’accès à distance de Windows (RRAS) ou en adoptant tout dispositif VPN tiers. L’authentification peut également être fournie par le rôle Windows Network Policy Server (NPS) ou à partir de toute plateforme RADIUS tierce.
Pour plus de détails sur les exigences, veuillez vous référer à la documentation officielle de Microsoft.
Always On VPN dans l’environnement Azure?
En général,, il est conseillé d’établir des connexions VPN aux points d’extrémité aussi près que possible des ressources auxquelles il faut accéder. Pour les réalités hybrides, il existe plusieurs options pour positionner l’architecture Always On VPN. Le déploiement du rôle d’accès à distance sur une machine virtuelle dans l’environnement Azure n’est pas pris en charge, cependant, vous pouvez utiliser Azure VPN Gateway avec Windows 10 Always On, pour établir des tunnels de type Device Tunnel et User Tunnel. À cet égard, il convient de noter qu’il est approprié de faire les évaluations correctes du type et de l’UGS pour déployer Azure VPN Gateway.
Types de déploiement
Pour Always On VPN, il existe deux scénarios de déploiement :
- Déploiement uniquement de Always On VPN.
- Déploiement de Always On VPN avec Microsoft Azure Conditional Access.
Le déploiement de Always On VPN peut prévoir en option, pour le client Windows 10 joint au domaine, de configurer l’accès conditionnel pour ajuster la façon dont les utilisateurs du VPN accèdent aux ressources de l’entreprise.
Figure 2 – Flux de travail pour le déploiement de Always On VPN pour Windows 10 client joint au domaine
Le client Always On VPN peut être intégré à la plateforme Azure Contitional Access pour forcer l’authentification multi-facteurs (MFA), la conformité des appareils ou une combinaison de ces deux aspects. Si le client répond aux critères de Contitional Access, Azure Active Directory (Azure AD) émet un certificat d’authentification IPsec de courte durée qui peut être utilisé pour s’authentifier auprès de la passerelle VPN. La conformité du dispositif utilise les politiques de conformité de Microsoft Endpoint Manager (Configuration Manager / Intune), qui peuvent inclure l’état de l’attestation d’intégrité du dispositif, dans le cadre du contrôle de conformité de la connexion.
Figure 3 – Flux de travail de connexion côté client
Pour plus de détails sur cette méthode de déploiement, vous pouvez vous référer à cette documentation Microsoft.
Provisionnement de la solution sur le client
Always On VPN est conçu pour être déployé et géré à l’aide d’une plateforme de gestion des appareils mobiles telle que Microsoft Endpoint Manager, mais vous pouvez également utiliser des solutions de gestion des appareils mobiles (MDM) de tiers. Pour Always On VPN, il n’y a pas de support pour la configuration et la gestion via une stratégie de groupe dans Active Directory, mais si vous ne disposez pas d’une solution MDM, il est possible de procéder à un déploiement manuel de la configuration via PowerShell.
Intégration avec d’autres solutions Microsoft
En dehors des cas spécifiés dans les paragraphes précédents, la technologie Always On VPN peut être intégrée avec les technologies Microsoft suivantes :
- Azure Multifactor Authentication (MFA) : lorsqu’elle est combinée avec les services RADIUS (Remote Authentication Dial-In User Service) et l’extension NPS (Network Policy Server) pour Azure MFA, l’authentification VPN peut exploiter les mécanismes d’authentification multifactorielle.
- Windows Information Protection (WIP) : grâce à cette intégration est autorisée l’application de critères réseau pour déterminer si le trafic est autorisé à passer par le tunnel VPN.
- Windows Hello for Business : dans Windows 10, cette technologie remplace les mots de passe, fournissant un mécanisme d’authentification avec deux facteurs forts. Cette authentification est un type d’informations d’identification de l’utilisateur liées à un appareil et utilisent un PIN (numéro d’identification personnel) biométrique ou personnel.
Conclusions
Préparez votre infrastructure pour permettre à l’endpoint d’accéder au réseau de l’entreprise par le biais de la technologie Always On VPN il ne nécessite aucun coût supplémentaire pour les licences de logiciels et les investissements nécessaires à la fois en termes d’efforts et de ressources sont minimes. Grâce à cette méthode de connectivité, vous pouvez garantir la meilleure expérience utilisateur en déplacement, en fournissant un accès transparent et automatique au réseau d’entreprise tout en maintenant un niveau élevé de sécurité. Pour les aspects énumérés ci-dessus, la technologie Always On VPN ne convient pas à tous les scénarios d’utilisation, mais elle est certainement à considérer en présence de systèmes Windows 10 qui ont besoin d’un accès à distance aux ressources de l’entreprise.
.