Om Always On VPN

• Gäller för:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

Med Always On VPN kan du:

• Skapa avancerade scenarier genom att integrera Windows-operativsystem och lösningar från tredje part. En lista över integreringar som stöds finns i Integreringar som stöds.

• Underhåll nätverkssäkerhet, begränsa anslutningen efter trafiktyper, program och autentiseringsmetoder. En lista över Always On VPN-säkerhetsfunktioner finns i Säkerhetsfunktioner.

• Konfigurera automatisk aktivering för användar- och enhetsautentiserade anslutningar. Mer information finns i Anslutningsfunktioner.

• Kontrollera ditt nätverk genom att skapa routningsprinciper på detaljerad nivå; även ner till den enskilda applikationen. Mer information finns i Nätverksfunktioner.

• Konfigurera VPN-inställningarna med en standard-XML-profil (ProfileXML) som definieras av en konfigurationsmall för branschstandard. Du kan distribuera och hantera dina VPN-inställningar med Windows PowerShell, Microsoft Endpoint Configuration Manager, Intune, Windows Configuration Designer eller något mdm-verktyg (mobile device management) från tredje part.

Integreringar som stöds

Always On VPN stöder domänanslutna, icke-domänanslutna (arbetsgrupp) eller Microsoft Entra ID-anslutna enheter för att möjliggöra både företags- och BYOD-scenarier. Always On VPN är tillgängligt i alla Windows-utgåvor och plattformsfunktionerna är tillgängliga för tredje part via UWP VPN-plugin-stöd.

Always On VPN stöder integrering med följande plattformar:

• Windows Information Protection (WIP). integrering med WIP gör det möjligt att tillämpa nätverksprinciper för att avgöra om trafik tillåts gå via VPN. Om användarprofilen är aktiv och WIP-principer tillämpas utlöses Always On VPN automatiskt för att ansluta. När du använder WIP behöver du inte heller ange AppTriggerList och TrafficFilterList regler separat i VPN-profilen (om du inte vill ha mer avancerad konfiguration) eftersom WIP-principer och programlistor automatiskt börjar gälla.

• Windows Hello för företag. Always On VPN har inbyggt stöd för Windows Hello för företag i certifikatbaserat autentiseringsläge. Det inbyggda Windows Hello-stödet ger en sömlös enkel inloggning för både inloggning på datorn och anslutning till VPN. Ingen sekundär autentisering (användarautentiseringsuppgifter) krävs för VPN-anslutningen.

• villkorsstyrd åtkomstplattform i Microsoft Azure. AlwaysOn VPN-klienten kan integreras med Azures plattform för villkorsstyrd åtkomst för att framtvinga multifaktorautentisering (MFA), enhetsefterlevnad eller en kombination av de två. När det är kompatibelt med principer för villkorlig åtkomst utfärdar Microsoft Entra-ID ett kortlivat (som standard, sextio minuter) IPsec-autentiseringscertifikat (IP Security). IPSec-certifikatet kan sedan användas för att autentisera till VPN-gatewayen. Enhetsefterlevnad använder Efterlevnadsprinciper för Configuration Manager/Intune, som kan inkludera enhetens hälsoattesteringstillstånd som en del av anslutningsefterlevnadskontrollen. Mer information finns i VPN och villkorlig åtkomst

• Microsoft Entra multifaktorautentiseringsplattform. I kombination med RADIUS-tjänster (Remote Authentication Dial-In User Service) och NPS-tillägget (Network Policy Server) för Microsoft Entra multifaktorautentisering kan VPN-autentisering använda stark MFA.

• VPN-plugin-program från tredje part. Med UWP (Universal Windows Platform) kan VPN-leverantörer från tredje part skapa ett enda program för alla Windows-enheter. UWP tillhandahåller ett garanterat kärn-API-lager mellan enheter, vilket eliminerar komplexiteten i och problem som ofta är associerade med att skriva drivrutiner på kernelnivå. För närvarande finns windows UWP VPN-plugin-program för Pulse Secure, F5 Access, Check Point Capsule VPN, FortiClient, SonicWall Mobile Connectoch GlobalProtect.

Säkerhetsfunktioner

Always On VPN ger anslutning till företagsresurser med hjälp av tunnelprinciper som kräver autentisering och kryptering tills de når VPN-gatewayen. Som standard avslutas tunnelsessionerna vid VPN-gatewayen, som även fungerar som IKEv2-gatewayen, vilket ger säkerhet från slutpunkt till gräns.

Mer information om standardalternativ för VPN-autentisering finns i VPN-autentiseringsalternativ.

Always On VPN stöder följande säkerhetsfunktioner:

• Stöd för VPN-protokoll för branschstandard IKEv2. Always On VPN-klienten stöder IKEv2, ett av dagens mest använda tunnelprotokoll av branschstandard. Den här kompatibiliteten maximerar samverkan med VPN-gatewayer från tredje part.

• Samverkan med IKEv2 VPN-gatewayer från tredje part. AlwaysOn VPN-klienten stöder samverkan med IKEv2 VPN-gatewayer från tredje part. Du kan också uppnå samverkan med VPN-gatewayer från tredje part genom att använda ett UWP VPN-plugin-program i kombination med en anpassad tunneltyp utan att offra Funktioner och fördelar för Always On VPN-plattformen.

  Not

  Kontakta din gateway eller tredjepartsleverantör av backend-utrustning om konfigurationer och kompatibilitet med Always On VPN och Enhetstunnel som använder IKEv2.

• Gå tillbaka till SSTP från IKEv2. Du kan konfigurera återställning för klienter som finns bakom brandväggar eller proxyservrar med hjälp av den automatiska tunnel-/protokolltypen i VPN-profilen.

  Not

  Användartunnel stöder SSTP och IKEv2, och Enhetstunnel stöder endast IKEv2, utan stöd för SSTP-återställning.

• Stöd för autentisering av datorcertifikat. IKEv2-protokolltypen som är tillgänglig som en del av Always On VPN-plattformen stöder specifikt användning av dator- eller datorcertifikat för VPN-autentisering.

  Not

  IKEv2 är det enda protokoll som stöds för Enhetstunnel och det finns inget stödalternativ för SSTP-återställning. Mer information finns i Konfigurera en AlwaysOn VPN-enhetstunnel.

• Trafik- och appfilter. Med trafik- och appbrandväggsregler kan du ange principer på klientsidan som avgör vilken trafik och vilka appar som tillåts ansluta till VPN-gränssnittet.

  Det finns två typer av filtreringsregler:

  • Appbaserade regler. Appbaserade brandväggsregler baseras på en lista över angivna program så att endast trafik från dessa appar tillåts gå över VPN-gränssnittet.

  • Trafikbaserade regler. Trafikbaserade brandväggsregler baseras på nätverkskrav som portar, adresser och protokoll. Använd endast dessa regler för trafik som matchar dessa specifika villkor tillåts gå över VPN-gränssnittet.

  Not

  Dessa regler gäller endast för utgående trafik från enheten. Användning av trafikfilter blockerar inkommande trafik från företagsnätverket till klienten.

• Villkorsstyrd VPN-åtkomst. Villkorlig åtkomst och enhetsefterlevnad kan kräva att hanterade enheter uppfyller standarder innan de kan ansluta till VPN. Med villkorsstyrd VPN-åtkomst kan du begränsa VPN-anslutningarna till de enheter vars klientautentiseringscertifikat innehåller OID för villkorsstyrd åtkomst i Microsoft Entra för 1.3.6.1.4.1.311.87. Information om hur du begränsar VPN-anslutningar direkt på NPS-servern finns i Konfigurera villkorlig VPN-åtkomst på nätverksprincipservern. Mer information om hur du begränsar VPN-anslutningar med Microsoft Entra-villkorlig åtkomstfinns i Villkorlig åtkomst för VPN-anslutning med hjälp av Microsoft Entra ID.

• Begränsa fjärråtkomst till specifika användare och enheter. Du kan konfigurera Always On VPN för att stödja detaljerad auktorisering när du använder RADIUS, vilket inkluderar användning av säkerhetsgrupper för att styra VPN-åtkomst.

• Definiera tillgängliga hanteringsservrar innan användaren loggar in. Använd funktionen Enhetstunnel (finns i version 1709 – endast för IKEv2) i VPN-profilen i kombination med trafikfilter för att styra vilka hanteringssystem i företagsnätverket som är tillgängliga via enhetstunneln.

  Obs

  Om du aktiverar trafikfilter i profilen Enhetstunnel nekar enhetstunneln inkommande trafik (från företagsnätverket till klienten).

• Per-app-VPN. Per app-VPN är som att ha ett appbaserat trafikfilter, men det går längre för att kombinera programutlösare med ett appbaserat trafikfilter så att VPN-anslutningen begränsas till ett specifikt program i stället för alla program på VPN-klienten. Funktionen initieras automatiskt när appen startas.

• Anpassade IPsec-kryptografialgoritmer. Always On VPN stöder användning av både RSA- och elliptisk kurvkryptografibaserade anpassade kryptografiska algoritmer för att uppfylla strikta säkerhetsprinciper för myndigheter eller organisationer.

• Stöd för EAP (Native Extensible Authentication Protocol). Always On VPN har inbyggt stöd för EAP, vilket gör att du kan använda en mängd olika typer av Microsoft och EAP från tredje part som en del av autentiseringsarbetsflödet. EAP tillhandahåller säker autentisering baserat på följande autentiseringstyper:

  • Användarnamn och lösenord
  • Smartkort (både fysiskt och virtuellt)
  • Användarcertifikat
  • Windows Hello för företag
  • MFA-stöd via EAP RADIUS-integrering

  Programleverantören styr UWP VPN-plugin-autentiseringsmetoder från tredje part, även om de har en matris med tillgängliga alternativ, inklusive anpassade autentiseringstyper och OTP-stöd.

• Tvåfaktorsautentisering i Windows Hello för företag på datorer och mobila enheter. I Windows 10 ersätter Windows Hello för företag lösenord genom att tillhandahålla stark tvåfaktorautentisering på datorer och mobila enheter. Mer information finns i Aktivera fjärråtkomst med Windows Hello för företag i Windows 10

• Azure multifaktorautentisering (MFA). Microsoft Entra multifaktorautentisering har molnbaserade och lokala versioner som du kan integrera med Windows VPN-autentiseringsmekanismen. Mer information finns i Integrera RADIUS-autentisering med Azure Multi-Factor Authentication Server.

• Betrodd plattformmodulnyckelattestering (TPM). Ett användarcertifikat som har en TPM-attesterad nyckel ger högre säkerhetsgaranti, som backas upp av icke-exportabilitet, anti-hamring och isolering av nycklar som tillhandahålls av TPM.

Mer information om TPM-nyckelattestering i Windows 10 finns i TPM-nyckelattestering.

Anslutningsfunktioner

Always On VPN har stöd för följande anslutningsfunktioner:

• Automatisk utlösande av program. Du kan konfigurera Always On VPN för att stödja automatisk utlösande baserat på begäranden om start av program eller namnrymdsmatchning. Mer information om hur du konfigurerar automatisk utlösande finns i alternativ för automatisk utlösande VPN-profil.

• Namnbaserad automatisk utlösare. Med Always On VPN kan du definiera regler så att specifika domännamnsfrågor utlöser VPN-anslutningen. Windows-enheter stöder namnbaserad utlösare för domänanslutna och icke-domänanslutna datorer (tidigare stöds endast icke-domänanslutna datorer).

• Betrodd nätverksidentifiering. Always On VPN innehåller den här funktionen för att säkerställa att VPN-anslutningen inte utlöses om en användare är ansluten till ett betrott nätverk inom företagsgränsen. Du kan kombinera den här funktionen med någon av de utlösande metoder som nämnts tidigare för att ge en sömlös användarupplevelse som "endast ansluter när det behövs".

• Enhetstunnel. Always On VPN ger dig möjlighet att skapa en dedikerad VPN-profil för enhet eller dator. Till skillnad från användartunnel, som endast ansluts efter att en användare har loggat in på enheten eller datorn, Enhetstunnel tillåter VPN att upprätta anslutning innan användaren loggar in. Både enhetstunnel och användartunnel fungerar oberoende av varandra med sina VPN-profiler, kan anslutas samtidigt och kan använda olika autentiseringsmetoder och andra VPN-konfigurationsinställningar efter behov. Information om hur du konfigurerar en enhetstunnel, inklusive information om hur du använder hantera ut för att dynamiskt registrera klient-IP-adresser i DNS, finns i Konfigurera en AlwaysOn VPN-enhetstunnel.

  Not

  Enhetstunnel kan bara konfigureras på domänanslutna enheter som kör Windows 10 Enterprise eller Education version 1709 eller senare. Det finns inget stöd för tredjepartskontroll av enhetstunneln.

• Connectivity Assistant Always On VPN är helt integrerad med den interna nätverksanslutningsassistenten och ger anslutningsstatus från gränssnittet Visa alla nätverk. Med tillkomsten av Windows 10 Creators Update (version 1703) är VPN-anslutningsstatus och VPN-anslutningskontroll för användartunnel tillgänglig via den utfällbara nätverksutfällningen (för den inbyggda VPN-klienten i Windows).

Nätverksfunktioner

Always On VPN stöder följande nätverksfunktioner:

• Stöd för dubbla staplar för IPv4 och IPv6. Always On VPN stöder internt användning av både IPv4 och IPv6 i en dubbel stack-metod. Det har inget specifikt beroende av det ena protokollet framför det andra, vilket möjliggör maximal IPv4/IPv6-programkompatibilitet kombinerat med stöd för framtida IPv6-nätverksbehov.

• Programspecifika routningsprinciper. Förutom att definiera principer för global VPN-anslutningsroutning för internet- och intranätstrafikavgränsning är det möjligt att lägga till routningsprinciper för att styra användningen av delade tunnel- eller tvinga tunnelkonfigurationer per program. Med det här alternativet får du mer detaljerad kontroll över vilka appar som får interagera med vilka resurser via VPN-tunneln.

• Exkluderingsvägar. Always On VPN stöder möjligheten att ange undantagsvägar som specifikt styr routningsbeteendet för att definiera vilken trafik som endast ska passera VPN och inte gå över det fysiska nätverksgränssnittet.

  Not

  Exkluderingsvägar fungerar för trafik i samma undernät som klienten, till exempel LinkLocal. Exkluderingsvägar fungerar endast i en konfiguration av delad tunnel.

• Stöd för flera domäner och skogar. AlwaysOn VPN-plattformen har inget beroende av AD DS-skogar (Active Directory Domain Services) eller domäntopologi (eller associerade funktions-/schemanivåer) eftersom den inte kräver att VPN-klienten är domänansluten för att fungera. Grupprincip är därför inte ett beroende för att definiera VPN-profilinställningar eftersom du inte använder den under klientkonfigurationen. Där Active Directory-auktoriseringsintegrering krävs kan du uppnå det via RADIUS som en del av EAP-autentiserings- och auktoriseringsprocessen.

• Namnmatchning av företagsresurser med kortnamn, fullständigt domännamn (FQDN) och DNS-suffix. Always On VPN kan internt definiera ett eller flera DNS-suffix som en del av PROCESSEN för VPN-anslutning och IP-adresstilldelning, inklusive matchning av företagets resursnamn för korta namn, FQDN eller hela DNS-namnområden. Always On VPN stöder också användning av namnupplösningspolicytabeller för att ge upplösning med namnområdesspecifik precision.

  Not

  Undvik att använda globala suffix eftersom de stör lösningen av kortnamn när du använder namnlösningspolicytabeller.

Funktioner för hög tillgänglighet

Följande är fler alternativ för hög tillgänglighet.

Serverresiliens och belastningsutjämning. I miljöer som kräver hög tillgänglighet eller har stöd för ett stort antal begäranden kan du öka prestanda och återhämtning för fjärråtkomst genom att konfigurera belastningsutjämning mellan nätverksprincipservrar (NPS) och genom att aktivera serverkluster för fjärråtkomst.

Motståndskraft för geografiska platser. För IP-baserad geoplats kan du använda Global Traffic Manager med DNS i Windows Server. Om du vill ha en mer robust geografisk belastningsutjämning kan du använda lösningar för global serverbelastningsutjämning, till exempel Microsoft Azure Traffic Manager.

Nästa steg

• Installera fjärråtkomst som en VPN-server

• Självstudie: Distribuera Always On VPN

• VPN-säkerhetsfunktioner: Det här avsnittet innehåller en översikt över VPN-säkerhetsriktlinjer för LockDown VPN, Windows Information Protection-integrering (WIP) med VPN och trafikfilter.

• vpn-profilalternativ som utlöses automatiskt: Det här avsnittet innehåller en översikt över profilalternativ som utlöses automatiskt av VPN, till exempel apputlösare, namnbaserad utlösare och Always On.

• Felsöka Always On VPN