Qu’est-ce que Microsoft Always On VPN – vembu
L’accès à distance est l’un des éléments clés de l’autonomisation de la main-d’œuvre mobile pour la productivité lorsqu’elle est éloignée du lieu de production et du réseau central. Au fil des ans, le réseau privé virtuel ou la connexion VPN a été un élément de base de la main-d’œuvre mobile d’accès à distance qui permet de se connecter aux réseaux d’entreprise sur un tunnel privé crypté et sécurisé via Internet. Cependant, les déploiements de VPN peuvent être difficiles à mettre en œuvre et à maintenir.
Il y a quelques années, Microsoft a introduit DirectAccess qui a été présenté comme la solution aux défis de l’accès à distance. Il s’est avéré difficile à mettre en œuvre correctement et présentait des limitations qui ont affecté son adoption. Avec Windows Server 2016 et les versions supérieures, ainsi que Windows 10, Microsoft a introduit une nouvelle technologie d’accès à distance appelée Always On VPN.
Dans ce billet, nous allons examiner les points suivants :
- Qu’est-ce que le VPN Always On de Microsoft ?
- Quels sont ses avantages et ses exigences ?
- Types de scénarios de déploiement
Qu’est-ce que le VPN Always On de Microsoft ?
Le VPN Always On de Microsoft est la refonte de la technologie d’accès à distance DirectAccess cherchant à surmonter les limites de DirectAccess et à obtenir une adoption beaucoup plus large. Avec la nouvelle technologie Always On VPN, Microsoft cherche à réaliser une solution unique d’accès à distance qui supporte un large éventail de clients. Comme DirectAccess, la connexion VPN est « Always On », ce qui signifie qu’aucune entrée utilisateur n’est requise, sauf si l’authentification multifactorielle est activée. Dès qu’un client est connecté à l’Internet, la connexion VPN est établie. La gamme de clients pris en charge, contrairement à DirectAccess, comprend plus que de simples clients joints à un domaine :
- Domain-joined
- Non Domain-joined
- Azure AD-joined devices
- BYOD
Un blocage supplémentaire à DirectAccess était qu’il nécessitait une édition Enterprise du point de vue du client. Cependant, avec AOVPN, Microsoft permet aux clients Windows 10 Pro et supérieurs de bénéficier de la technologie. Les connexions prennent en charge les connexions de type utilisateur et périphérique, mais peuvent également combiner les deux. Cela permet de gérer un appareil avec la gestion des appareils ainsi que d’activer l’authentification des utilisateurs pour la connectivité aux sites et services internes de l’entreprise.
Le processus de connexion pour se connecter en utilisant la technologie Always On VPN implique les étapes suivantes :
- La résolution DNS est utilisée par le client Windows 10 distant pour résoudre l’adresse IP de la passerelle VPN
- Une fois que la résolution de nom résout l’adresse IP publique de la passerelle VPN, le client envoie une demande de connexion à la passerelle VPN Always On
- La passerelle VPN fait office de client RADIUS qui transmet la demande de connexion au serveur NPS de l’entreprise pour traiter la demande d’authentification
- Le serveur de politique réseau effectue l’autorisation nécessaire, authentification, et finalement autorise ou refuse la demande
- La connexion est ensuite établie ou déconnectée en fonction de la réponse du serveur NPS
Exigences de Microsoft Always On VPN
La solution Microsoft Always On VPN comporte diverses pièces et parties mobiles. De nombreuses exigences sont déjà présentes dans la plupart des environnements des entreprises clientes. Cependant, il s’agit notamment de :
- Contrôleurs de domaine
- Serveurs DNS
- Serveur de politique de réseau (NPS)
- Serveur d’autorité de certification (CA)
- Serveur de routage et d’accès à distance
Pour plonger un peu plus dans les exigences/prérequis pour la configuration du VPN Microsoft Always On, il y a de nombreux composants de l’environnement Active Directory, notamment les serveurs DNS et d’autorité de certification qui sont nécessaires.
- Les entreprises doivent avoir une structure DNS externe et interne configurée avec des zones pour chacune. Une configuration de parent et de sous-domaine est supposée au moins dans la documentation de Microsoft de peut-être un contoso.com et un corp.contoso.com
- Les organisations devront configurer une infrastructure de clés publiques en utilisant les services de certificats Active Directory (AD CS). Comme pour DirectAccess, la technologie VPN Always On fait appel à des certificats pour rendre la technologie transparente.
- Un serveur de stratégie réseau existant ou nouveau sera nécessaire. Les serveurs existants peuvent être utilisés avec la configuration supplémentaire pour l’AOVPN
- Accès à distance en tant que RAS Gateway VPN – fonctions activées pour prendre en charge les connexions VPN IKEv2 et le routage LAN
- Configuration de deux pare-feu – Un pare-feu sera le pare-feu de bordure et l’autre est le pare-feu interne. L’interface publique du serveur d’accès à distance se connectera au pare-feu de périphérie et l’interface interne se situera devant le pare-feu interne
- Le serveur d’accès à distance peut être une VM ou un serveur physique à utiliser comme hôte RAS avec les connexions réseau appropriées. « plombées » entre les pare-feu
- Les autorisations de l’administrateur pour déployer les technologies AOVPN
Types de scénarios de déploiement pour Microsoft Always On VPN
Il existe en fait deux scénarios de déploiement pour la technologie Microsoft Always On VPN. Il s’agit de :
- Toujours en ligne VPN uniquement
- Toujours en ligne VPN avec connectivité VPN utilisant un accès conditionnel Azure Active Directory
Qu’est-ce que l’accès conditionnel Azure Active Directory ?
L’accès conditionnel Azure Active Directory prend en compte la façon dont une ressource est accédée dans une décision de contrôle d’accès. Ces décisions de contrôle d’accès automatisées permettent de sécuriser l’accès. L’accès conditionnel prend en compte des éléments tels que le niveau de risque d’ouverture de session, l’emplacement de la demande, l’application client, etc.
Cela aide à trouver l’équilibre nécessaire pour protéger les ressources et permettre aux utilisateurs finaux d’être productifs et aux progrès de ne pas être entravés inutilement.
Voici quelques exemples des facteurs pris en compte pour accorder ou refuser l’accès :
- Risque d’ouverture de session – En utilisant l’apprentissage automatique, Azure détecte les risques d’ouverture de session en fonction du comportement de la demande d’ouverture de session et potentiellement même en bloquant un utilisateur si cela est justifié
- Emplacement du réseau – En fonction d’un emplacement de réseau, plus de preuves d’identité peuvent être nécessaires pour prouver que vous êtes qui vous dites être. Cela peut être pris en compte dans l’accès conditionnel avec Azure AD
- Gestion des appareils – Peut-être voulez-vous restreindre l’accès aux seuls appareils appartenant à l’entreprise et gérés, ou vous voulez restreindre le type d’appareil que vous autorisez à accéder aux ressources de l’entreprise
- Application client – Contrôlez les types d’applications autorisées à accéder aux environnements de l’entreprise ou déterminez quelles apps doivent être gérées par l’entreprise
Fonctionnalités avancées de Microsoft Always On VPN
Il existe de nombreuses fonctionnalités avancées que l’on retrouve dans la technologie AOVPN de Microsoft, notamment :
- Haute disponibilité
- Authentification avancée
- Fonctions de trafic avancées
- Protection de sécurité supplémentaire
Haute disponibilité
Pour assurer une haute disponibilité avec l’AOVPN, vous pouvez équilibrer la charge du trafic entre plusieurs serveurs de stratégie réseau (NPS) et également utiliser la technologie de clustering avec l’accès à distance. Pour assurer la résilience géographique des sites, vous pouvez utiliser le gestionnaire de trafic global avec DNS dans Windows Server 2016.
Authentification avancée
L’AOVPN prend en charge Windows Hello for Business qui remplace les mots de passe par une authentification forte à deux facteurs, notamment biométrique ou PIN. En outre, vous pouvez utiliser l’authentification multifactorielle Azure qui peut s’intégrer à Windows VPN.
Fonctions avancées de trafic
Les fonctionnalités avancées telles que le filtrage du trafic, le VPN déclenché par les applications et l’accès conditionnel VPN peuvent toutes être utilisées avec l’AOVPN de Microsoft pour filtrer et sécuriser davantage le trafic.
Protection de sécurité supplémentaire
L’AOVPN de Microsoft est compatible avec l’attestation de clé du Trusted Platform Module (TPM) pour fournir une assurance de sécurité plus élevée pour l’accès.
Pensées finales
Microsoft vise à rendre l’expérience VPN aussi transparente que possible. Comme DirectAccess n’a pas pris comme Microsoft l’avait espéré, la nouvelle technologie VPN Always On que l’on trouve dans Windows Server 2016 et plus espère changer cela. Avec la prise en charge des clients sous licence non Entreprise ainsi que des clients non liés à un domaine, AOVPN est certainement en bien meilleure position pour être adopté par les entreprises aujourd’hui. AOVPN a également des liens étroits avec Azure, avec la technologie d' »accès conditionnel » qui permet de prendre des décisions plus intelligentes concernant l’accès aux ressources. D’une manière générale, le déploiement de l’AOVPN est assez complexe, car il nécessite de nombreuses technologies plus difficiles à déployer, comme PKS et NPS. Il y a certainement de grands avantages à la solution AOVPN pour ceux qui veulent habiliter leur main-d’œuvre mobile avec la dernière sécurité et une expérience utilisateur transparente.
Suivez nos flux Twitter et Facebook pour les nouvelles versions, les mises à jour, les posts perspicaces et plus encore.