关于 Always On VPN

Always On VPN 可用于:

  • 通过集成 Windows 操作系统和第三方解决方案来创建高级场景。 有关支持的集成的列表,请参阅支持的集成

  • 维护网络安全,按流量类型、应用程序和身份验证方法限制连接。 有关 Always On VPN 安全功能的列表,请参阅安全功能

  • 为用户和设备经过身份验证的连接配置自动触发。 有关详细信息,请参阅连接功能

  • 通过在粒度级别(甚至细化到单个应用程序)创建路由策略来控制网络。 有关详细信息,请参阅网络功能

  • 使用行业标准配置模板定义的标准 XML 配置文件 (ProfileXML) 来配置 VPN 设置。 可以使用 Windows PowerShell、Microsoft Endpoint Configuration Manager、Intune、Windows 配置设计器或任何第三方移动设备管理 (MDM) 工具来部署和管理 VPN 设置。

支持的集成

Always On VPN 支持已加入域、未加入域(工作组)或已加入 Microsoft Entra ID 的设备,从而同时支持企业和 BYOD 场景。 Always On VPN 在所有 Windows 版本中都可用,第三方可通过 UWP VPN 插件支持使用平台功能。

Always On VPN 支持与以下平台集成:

  • Windows 信息保护 (WIP)。通过与 WIP 集成可强制执行网络策略,以确定是否允许流量通过 VPN。 如果用户配置文件处于活动状态并应用了 WIP 策略,则会自动触发 Always On VPN 进行连接。 此外,使用 WIP 时,无需在 VPN 配置文件中单独指定 AppTriggerListTrafficFilterList 规则(除非需要更高级的配置),因为 WIP 策略和应用程序列表会自动生效。

  • Windows Hello 企业版。在基于证书的身份验证模式下,Always On VPN 本机支持 Windows Hello 企业版。 Windows Hello 本机支持为登录计算机和连接到 VPN 提供无缝的单一登录体验。 VPN 连接不需要辅助身份验证(用户凭据)。

  • Microsoft Azure 条件访问平台。Always On VPN 客户端可以与 Azure 条件访问平台集成,以强制实施多重身份验证 (MFA) 和/或设备合规性。 符合条件访问策略时,Microsoft Entra ID 会颁发短期(默认为 60 分钟)IP 安全 (IPsec) 身份验证证书。 之后可以使用该 IPSec 证书向 VPN 网关进行身份验证。 设备合规性使用 Configuration Manager/Intune 合规性策略,其中可能将设备运行状况证明状态作为连接合规性检查的一部分。 有关更多详细信息,请参阅 VPN 和条件访问

  • Microsoft Entra 多重身份验证平台。与远程身份验证拨入用户服务 (RADIUS) 服务以及用于 Microsoft Entra 多重身份验证的网络策略服务器 (NPS) 扩展结合使用时,VPN 身份验证可使用强 MFA。

  • 第三方 VPN 插件。借助通用 Windows 平台 (UWP),第三方 VPN 提供商可针对各种 Windows 设备创建单个应用程序。 UWP 跨设备提供有保证的核心 API 层,消除了编写内核级驱动程序时经常出现的复杂性和问题。 目前,Windows UWP VPN 插件适用于 Pulse SecureF5 AccessCheck Point Capsule VPNFortiClientSonicWall Mobile ConnectGlobalProtect

安全功能

Always On VPN 使用隧道策略来提供与公司资源的连接,这些策略要求在资源到达 VPN 之前进行身份验证和加密。 默认情况下,隧道会话在 VPN 网关终止,该网关也充当 IKEv2 网关,提供端到边缘安全性。

有关标准 VPN 身份验证选项的详细信息,请参阅 VPN 身份验证选项

Always On VPN 支持以下安全功能:

  • 行业标准 IKEv2 VPN 协议支持。 Always On VPN 客户端支持 IKEv2,这是当今使用最广泛的行业标准隧道协议之一。 这种兼容性最大限度地提高了与第三方 VPN 网关的互操作性。

  • 与第三方 IKEv2 VPN 网关的互操作性。 Always On VPN 客户端支持与第三方 IKEv2 VPN 网关的互操作性。 还可以通过结合使用 UWP VPN 插件和自定义隧道类型来实现与第三方 VPN 网关的互操作性,而不会牺牲 Always On VPN 平台的功能和优势。

    注意

    请咨询你的网关或第三方后端设备供应商,了解使用 IKEv2 的 Always On VPN 和设备隧道的配置和兼容性。

  • 从 IKEv2 回退到 SSTP。 可以使用 VPN 配置文件中的自动隧道/协议类型,为防火墙或代理服务器后面的客户端配置回退。

    注意

    用户隧道支持 SSTP 和 IKEv2,而设备隧道仅支持 IKEv2,不支持 SSTP 回退。

  • 支持计算机证书身份验证。 作为 Always On VPN 平台的一部分提供的 IKEv2 协议类型明确支持使用计算机或计算机证书进行 VPN 身份验证。

    注意

    IKEv2 是设备隧道唯一支持的协议,并且没有 SSTP 回退的支持选项。 有关详细信息,请参阅配置 Always On VPN 设备隧道

  • 流量和应用筛选器。 使用流量和应用防火墙规则,可以指定客户端策略,确定允许哪些流量和应用连接到 VPN 接口。

    提供两种类型的筛选规则:

    • 基于应用的规则。 基于应用的防火墙规则基于指定应用程序的列表,仅允许来自这些应用的流量通过 VPN 接口。

    • 基于流量的规则。 基于流量的防火墙规则基于端口、地址和协议等网络要求。 仅将这些规则用于符合这些特定条件且允许通过 VPN 接口的流量。

    注意

    这些规则仅适用于从设备出站的流量。 使用流量筛选器可阻止从公司网络到客户端的入站流量。

  • VPN 条件访问。 条件访问和设备合规性可能要求托管设备在连接到 VPN 之前符合标准。 VPN 条件访问允许将 VPN 连接限制为其客户端身份验证证书包含 Microsoft Entra 条件访问 OID 1.3.6.1.4.1.311.87 的设备。 若要了解如何直接在 NPS 服务器上限制 VPN 连接,请参阅在网络策略服务器上配置 VPN 条件访问。 要了解如何使用 Microsoft Entra 条件访问限制 VPN 连接,请参阅使用 Microsoft Entra ID 进行 VPN 连接的条件访问

  • 将远程访问限制为特定用户和设备。 可将 Always On VPN 配置为在使用 RADIUS 时支持精细授权,其中包括使用安全组来控制 VPN 访问。

  • 在用户登录之前定义可访问的管理服务器。 将 VPN 配置文件中的设备隧道功能(版本 1709 中提供 - 仅适用于 IKEv2)与流量筛选器结合使用,以控制可通过设备隧道访问公司网络上的哪些管理系统。

    注意

    如果在设备隧道配置文件中打开流量筛选器,则设备隧道会拒绝入站流量(从公司网络到客户端的流量)。

  • 每应用 VPN。 每应用 VPN 类似于拥有一个基于应用的流量筛选器,但它更进一步将应用程序触发器与基于应用的流量筛选器相结合,以便 VPN 连接仅限于特定应用程序,而不是 VPN 客户端上的所有应用程序。 应用启动时,该功能会自动启动。

  • 自定义 IPsec 加密算法。 Always On VPN 支持使用基于 RSA 和椭圆曲线加密的自定义加密算法,以满足严格的政府或组织安全策略。

  • 本机可扩展身份验证协议 (EAP) 支持。 Always On VPN 本机支持 EAP,这使你能够在身份验证工作流中使用一组不同的 Microsoft 和第三方 EAP 类型。 EAP 提供基于以下身份验证类型的安全身份验证:

    • 用户名和密码
    • 智能卡(物理和虚拟)
    • 用户证书
    • Windows Hello for Business
    • 通过 EAP RADIUS 集成实现的 MFA 支持

    应用程序供应商控制第三方 UWP VPN 插件身份验证方法,尽管这些方法具有一系列可用选项,包括自定义凭据类型和 OTP 支持。

  • Windows Hello 企业版在电脑和移动设备上的双重身份验证。 在 Windows 10 中,Windows Hello 企业版通过在电脑和移动设备上提供强大的双重身份验证来替换密码。 有关详细信息,请参阅在 Windows 10 中使用 Windows Hello 企业版启用远程访问

  • Azure 多重身份验证 (MFA)。 Microsoft Entra 多重身份验证具有云版本和本地版本,而你可将它们与 Windows VPN 身份验证机制相集成。 有关详细信息,请参阅将 RADIUS 身份验证与 Azure 多重身份验证服务器集成

  • 受信任的平台模块 (TPM) 密钥证明。 具有 TPM 已证明密钥的用户证书提供更高的安全保证,并有 TPM 提供的密钥不可导出性、防攻击和隔离作为后盾。

有关 Windows 10 中的 TPM 密钥证明的详细信息,请参阅 TPM 密钥证明

连接功能

Always On VPN 支持以下连接功能:

  • 应用程序自动触发。 可将 Always On VPN 配置为支持基于应用程序启动或命名空间解析请求的自动触发。 有关如何配置自动触发的详细信息,请参阅 VPN 自动触发的配置文件选项

  • 基于名称的自动触发。 使用 Always On VPN,可以定义规则,以使特定域名查询触发 VPN 连接。 Windows 设备支持对已加入域和未加入域的计算机进行基于名称的触发(以前,仅支持未加入域的计算机)。

  • 受信任的网络检测。 Always On VPN 包含此功能,以确保用户连接到公司边界内的受信任网络时,不会触发 VPN 连接。 可将此功能与前面提到的任何触发方法相结合,提供无缝的“仅在需要时连接”的用户体验。

  • 设备隧道 Always On VPN 使你能够为设备或计算机创建专用的 VPN 配置文件。 与用户隧道(仅在用户登录到设备或计算机后连接)不同,设备隧道允许 VPN 在用户登录之前建立连接。 设备隧道和用户隧道均使用其 VPN 配置文件独立运行,可以同时连接,并且可以根据需要使用不同的身份验证方法和其他 VPN 配置设置。 有关如何配置设备隧道的信息,包括如何使用向外管理在 DNS 中动态注册客户端 IP 地址的信息,请参阅配置 Always On VPN 设备隧道

    注意

    只能在运行 Windows 10 企业版或教育版 1709 或更高版本的已加入域的设备上配置设备隧道。 不支持第三方控制设备隧道。

  • 连接助手。Always On VPN 与本机网络连接助手完全集成,并在“查看所有网络”界面提供连接状态。 随着 Windows 10 创意者更新(版本 1703)的出现,用户隧道的 VPN 连接状态和 VPN 连接控制现在通过(Windows 内置 VPN 客户端的)“网络”浮出控件提供。

网络功能

Always On VPN 支持以下网络功能:

  • 对 IPv4 和 IPv6 的双栈支持。 Always On VPN 本机支持在双栈方法中使用 IPv4 和 IPv6。 它对一种协议没有特定的依赖性,这样可以实现最大的 IPv4/IPv6 应用程序兼容性,同时支持未来的 IPv6 网络需求。

  • 特定于应用程序的路由策略。 除了为 Internet 和 Intranet 流量分离定义全局 VPN 连接路由策略外,还可以添加路由策略来控制拆分隧道的使用或基于每个应用程序强制隧道配置。 此选项可用于更精细地控制允许哪些应用通过 VPN 隧道与哪些资源交互。

  • 排除路由。 Always On VPN 支持指定排除路由的功能,专门控制路由行为,以定义哪些流量应仅穿过 VPN 而不经过物理网络接口。

    注意

    排除路由适用于与客户端位于同一子网内的流量,例如 LinkLocal。 排除路由仅适用于拆分隧道设置。

  • 支持多个域和林。 Always On VPN 平台不依赖于 Active Directory 域服务 (AD DS) 林或域拓扑(或关联的功能/架构级别),因为它不需要 VPN 客户端加入域即可正常运行。 因此,组策略不是定义 VPN 配置文件设置的依赖项,因为在客户端配置期间不会使用它。 如果需要 Active Directory 授权集成,可在 EAP 身份验证和授权过程中通过 RADIUS 实现。

  • 使用短名称、完全限定的域名 (FQDN) 和 DNS 后缀的公司资源的名称解析。Always On VPN 可在 VPN 连接和 IP 地址分配过程中本机定义一个或多个 DNS 后缀,包括短名称、FQDN 或整个 DNS 命名空间的公司资源名称解析。 Always On VPN 还支持使用名称解析策略表来提供特定于命名空间的解析粒度。

    注意

    避免使用全局后缀,因为在使用名称解析策略表时,它们会干扰短名称解析。

高可用性功能

下面是高可用性的其他选项。

服务器复原能力和负载均衡。 在需要高可用性或支持大量请求的环境中,可以通过配置网络策略服务器 (NPS) 之间的负载平衡和通过启用远程访问服务器群集来提高远程访问的性能和复原能力。

地理站点复原能力。 对于基于 IP 的地理定位,可以在 Windows Server 中将全局流量管理器与 DNS 配合使用。 若要实现更可靠的地理负载均衡,可以使用全局服务器负载均衡解决方案,例如 Microsoft Azure 流量管理器

后续步骤