關於 Always On VPN
AlwaysOn VPN 可讓您:
透過整合 Windows 作業系統和協力廠商解決方案,以建立進階案例。 如需支援的整合清單,請參閱支援的整合。
維護網路安全性,根據流量類型、應用程式和驗證方法限制連線。 如需 AlwaysOn VPN 安全性功能的清單,請參閱安全性功能。
設定使用者和裝置已驗證連線的自動觸發程序。 如需詳細資訊,請參閱連線功能。
藉由在細微層級建立路由原則,以控制您的網路;即使是向下到個別應用程式也是如此。 如需相關資訊,請參閱網路功能。
使用業界標準組態範本定義的標準 XML 設定檔 (ProfileXML) 來進行 VPN 設定。 您可以使用 Windows PowerShell、Microsoft Endpoint Configuration Manager、Intune、Windows 設定設計工具或任何協力廠商行動裝置管理 (MDM) 工具來部署和管理 VPN 設定。
支援的整合
Always On VPN 支援已加入網域、已加入非網域 (工作群組) 或已加入 Microsoft Entra ID 的裝置,以允許企業和 BYOD 案例。 AlwaysOn VPN 適用於所有 Windows 版本,而平台功能可透過 UWP VPN 外掛程式支援提供給協力廠商。
AlwaysOn VPN 支援與下列平台整合:
Windows 資訊保護 (WIP)。與 WIP 整合可讓網路原則強制執行,以判斷是否允許流量通過 VPN。 如果使用者設定檔為使用中且套用 WIP 原則,則會自動觸發 Always On VPN 以進行連線。 此外,當您使用 WIP 時,不需要在 VPN 設定檔中個別指定
AppTriggerList
和TrafficFilterList
規則 (除非您想要更進階的設定),因為 WIP 原則和應用程式清單會自動生效。Windows Hello 企業版。AlwaysOn VPN 原生支援以憑證為基礎的驗證模式中的 Windows Hello 企業版。 原生 Windows Hello 支援提供順暢的單一登入體驗,可同時登入電腦,以及連線至 VPN。 VPN 連線不需要次要驗證 (使用者認證)。
Microsoft Azure 條件式存取平台。AlwaysOn VPN 用戶端可以與 Azure 條件式存取平台整合,以強制執行多重要素驗證 (MFA)、裝置合規性或兩者的組合。 符合條件式存取原則時,Microsoft Entra ID 會發出短期 (預設為 60 分鐘) IP 安全性 (IPsec) 驗證憑證。 接著,IPSec 憑證可用來向 VPN 閘道進行驗證。 裝置合規性會使用 Configuration Manager/Intune 合規性政策,其可包含裝置健康情況證明狀態,以作為連線合規性檢查的一部分。 如需詳細資料,請參閱 VPN 和條件式存取
Microsoft Entra 多重要素驗證平台。與遠端驗證撥入使用者服務 (RADIUS) 服務和適用於 Microsoft Entra 多重要素驗證的網路原則伺服器 (NPS) 延伸模組結合使用時,VPN 驗證可以使用強式 MFA。
協力廠商 VPN 外掛程式。有了通用 Windows 平台 (UWP),協力廠商 VPN 提供者可以針對各種 Windows 裝置建立單一應用程式。 UWP 會跨裝置提供保證的核心 API 層,消除通常與撰寫核心層級驅動程式相關聯的複雜度和問題。 目前,針對 Pulse Secure、F5 Access、Check Point Capsule VPN、FortiClient、SonicWall Mobile Connect 和 GlobalProtect 的 Windows UWP VPN 外掛程式已存在。
安全性功能
AlwaysOn VPN 會使用需要驗證和加密的通道原則,提供對公司資源的連線,直到其到達 VPN 閘道為止。 根據預設,通道工作階段會在 VPN 閘道終止,此閘道也會作為 IKEv2 閘道運作,提供端對邊緣安全性。
如需標準 VPN 驗證選項的詳細資料,請參閱 VPN 驗證選項。
AlwaysOn VPN 支援下列安全性功能:
業界標準的 IKEv2 VPN 通訊協定支援。 Always On VPN 用戶端支援 IKEv2,這是現今最常用的業界標準通道通訊協定之一。 此相容性可最大化與協力廠商 VPN 閘道的互通性。
與協力廠商 IKEv2 VPN 閘道的互通性。 Always On VPN 用戶端支援與協力廠商 IKEv2 VPN 閘道的互通性。 您也可以使用結合自訂通道類型的 UWP VPN 外掛程式,來達成與協力廠商 VPN 閘道的互通性,而不犧牲 Always On VPN 平台的功能和優點。
注意
請洽詢閘道或協力廠商後端設備廠商,以了解使用 IKEv2 與 AlwaysOn VPN 和裝置通道的設定和相容性。
從 IKEv2 回復為 SSTP。 您可以使用 VPN 設定檔內的自動通道/通訊協定類型,為防火牆或 Proxy 伺服器後方的用戶端設定後援。
注意
使用者通道支援 SSTP 和 IKEv2,而裝置通道僅支援 IKEv2,而不支援 SSTP 後援。
支援電腦憑證驗證。 作為 Always On VPN 平台一部分的 IKEv2 通訊協定類型,特別支援使用電腦或電腦憑證進行 VPN 驗證。
注意
IKEv2 是裝置通道唯一支援的通訊協定,且沒有 SSTP 後援的支援選項。 如需詳細資訊,請參閱設定 Always On VPN 裝置通道。
流量和應用程式篩選器。 使用流量和應用程式防火牆規則,您可以指定用戶端原則,以判斷允許哪些流量和應用程式連線至 VPN 介面。
有兩種類型的篩選規則可供使用:
以應用程式為基礎的規則。 以應用程式為基礎的防火牆規則是以指定的應用程式清單為基礎,因此只允許來自這些應用程式的流量通過 VPN 介面。
以流量為基礎的規則。 以流量為基礎的防火牆規則是以網路需求為基礎,例如連接埠、位址和通訊協定。 請只針對符合這些特定條件的流量使用這些規則,如此才能通過 VPN 介面。
注意
這些規則僅適用於從裝置輸出的流量。 使用流量篩選器會封鎖從公司網路到用戶端的輸入流量。
VPN 條件式存取。 條件式存取和裝置合規性可能需要受管理的裝置符合標準才能連接到 VPN。 VPN 條件式存取允許將 VPN 連線限制為其用戶端驗證憑證包含 Microsoft Entra 條件式存取 OID
1.3.6.1.4.1.311.87
的裝置。 若要了解如何直接限制 NPS 伺服器上的 VPN 連線,請參閱在網路原則伺服器上設定 VPN 條件式存取。 若要了解如何使用 Microsoft Entra 條件式存取來限制 VPN 連線,請參閱使用 Microsoft Entra ID 設定 VPN 連線能力的條件式存取。限制對特定使用者和裝置的遠端存取。 您可以使用 RADIUS 設定 AlwaysOn VPN 以支援細微的授權,包括使用安全性群組來控制 VPN 存取。
定義使用者登入之前可存取的管理伺服器。 在 VPN 設定檔中使用裝置通道功能 (僅適用於 IKEv2 1709 版),同時結合流量篩選器來控制公司網路上的哪些管理系統可透過裝置通道來存取。
注意
如果您在裝置通道設定檔中開啟流量篩選器,則裝置通道會拒絕輸入流量 (從公司網路到用戶端)。
個別應用程式 VPN。 個別應用程式 VPN 就像具有以應用程式為基礎的流量篩選器,但更進一步地將應用程式觸發程序與以應用程式為基礎的流量篩選器結合在一起,讓 VPN 連線受限於特定應用程式,而不是 VPN 用戶端上的所有應用程式。 此功能會在應用程式啟動時自動起始。
自訂的 IPSec 密碼編譯演算法。 AlwaysOn VPN 支援使用 RSA 和橢圓曲線密碼編譯型自訂密碼編譯演算法,以符合嚴格的政府或組織安全性原則。
原生可延伸的驗證通訊協定 (EAP) 支援。 Always On VPN 原生支援 EAP,這可讓您在驗證工作流程中使用一組不同的 Microsoft 和協力廠商 EAP 類型。 EAP 會根據下列驗證類型提供安全驗證:
- 使用者名稱與密碼
- 智慧卡 (實體和虛擬)
- 使用者憑證
- Windows Hello 企業版
- 透過 EAP RADIUS 整合的 MFA 支援
應用程式廠商可控制協力廠商 UWP VPN 外掛程式驗證方法,不過他們有一系列可用的選項,包括自訂認證類型和 OTP 支援。
電腦和行動裝置上的 Windows Hello 企業版雙因素驗證。 在 Windows 10 中,Windows Hello 企業版會藉由在電腦和行動裝置上提供強式雙因素驗證來取代密碼。 如需詳細資訊,請參閱在 Windows 10 中使用 Windows Hello 企業版啟用遠端存取
Azure 多重要素驗證 (MFA) Microsoft Entra 多重要素驗證具有雲端和內部部署版本,您可以將其與 Windows VPN 驗證機制整合。 如需詳細資訊,請參閱將 RADIUS 驗證與 Azure Multi-Factor Authentication Server 整合。
信賴平台模組 (TPM) 金鑰證明。 具有 TPM 證明金鑰的使用者憑證可提供更高的安全性保證、由 TPM 提供金鑰的不可匯出性、不受 hammer 命令影響以及隔離所支援。
如需 Windows 10 中 TPM 金鑰證明的詳細資訊,請參閱 TPM 金鑰證明。
連線功能
AlwaysOn VPN 支援下列連線功能:
應用程式自動觸發。 您可以設定 AlwaysOn VPN,以支援根據應用程式啟動或命名空間解析要求自動觸發。 如需如何設定自動觸發的詳細資訊,請參閱 VPN 自動觸發設定檔選項。
以名稱為基礎的自動觸發。 有了 AlwaysOn VPN,您可以定義規則,讓特定的網域名稱查詢觸發 VPN 連線。 Windows 裝置支援將以名稱為基礎的觸發用於已加入網域和未加入網域的電腦 (先前僅支援未加入網域的電腦)。
信任的網路偵測。 AlwaysOn VPN 包含這項功能以確保如果使用者連線至公司界限內的受信任網路,就不會觸發 VPN 連線。 您可以將此功能與稍早所述的任何觸發方法結合,以提供順暢的「僅在需要時連線」使用者體驗。
裝置通道。 AlwaysOn VPN 可讓您建立裝置或電腦的專用 VPN 設定檔。 不同於使用者登入裝置或電腦之後才會連線的使用者通道,裝置通道可讓 VPN 在使用者登入之前建立連線。 裝置通道和使用者通道都可以使用其 VPN 設定檔獨立運作且能同時連線,並視情況使用不同的驗證方法和其他 VPN 組態設定。 如需如何設定裝置通道的資訊,包括如何使用管理在 DNS 中動態註冊用戶端 IP 位址的資訊,請參閱設定 Always On VPN 裝置通道。
注意
裝置通道只能在執行 Windows 10 企業版或教育版 1709 或更新版本的已加入網域的裝置上設定。 不支援裝置通道的協力廠商控制。
連線助理 AlwaysOn VPN 與原生網路連線助理完全整合,並提供檢視所有網路介面的線上狀態。 隨著 Windows 10 Creators Update (1703 版) 的出現,使用者通道的 VPN 線上狀態和 VPN 連線控制可透過網路飛出視窗取得 (適用於 Windows 內建 VPN 用戶端)。
網路功能
AlwaysOn VPN 支援下列網路功能:
IPv4 和 IPv6 的雙堆疊支援。 AlwaysOn VPN 原生支援在雙堆疊方法中使用 IPv4 和 IPv6。 其與任一通訊協定沒有特定的相依性,並允許與未來 IPv6 網路需求支援相結合的最大 IPv4/IPv6 應用程式相容性。
應用程式特定的路由原則。 除了定義網際網路和內部網路流量分隔的全域 VPN 連線路由原則之外,還可以新增路由原則來控制每個應用程式使用分割通道或強制通道設定。 此選項可讓您更細微地控制允許哪些應用程式透過 VPN 通道與哪些資源互動。
排除路由。 AlwaysOn VPN 支援指定排除路由的功能,該路由特別會控制路由行為,以定義應該只周遊 VPN,而不會經過實體網路介面的流量。
注意
排除路由適用於與 LinkLocal 等用戶端相同子網路內的流量。 排除路由只能在分割通道設定中運作。
支援多個網域和樹系。 Always On VPN 平台與 Active Directory 網域服務 (AD DS) 樹系或網域拓撲 (或相關聯的功能/架構層級) 沒有相依性,因為其不需要 VPN 用戶端加入網域才能運作。 因此,群組原則不是定義 VPN 設定檔設定的相依性,因為您在用戶端設定期間不會使用它。 在需要 Active Directory 授權整合的情況下,您可以在 EAP 驗證和授權程序中透過 RADIUS 來達成。
使用簡短名稱、完整網域名稱 (FQDN) 和 DNS 尾碼來解析公司資源的名稱。AlwaysOn VPN 可以原生定義一或多個 DNS 尾碼作為 VPN 連線和 IP 位址指派程式的一部分,包括簡短名稱、FQDN 或整個 DNS 命名空間的公司資源名稱解析。 AlwaysOn VPN 也支援使用名稱解析原則資料表來提供命名空間特定的解析細微性。
注意
請避免使用全域尾碼,因為在使用名稱解析原則資料表時會干擾簡短名稱解析。
高可用性功能
以下是高可用性的更多選項。
伺服器復原力和負載平衡。 在需要高可用性或支援大量要求的環境中,您可以藉由設定網路原則伺服器 (NPS) 與啟用遠端存取服務器叢集之間的負載平衡,來提升遠端存取的效能和復原能力。
地理位置復原力。 針對以 IP 為基礎的地理位置,您可以使用全域流量管理員搭配 Windows Server 中的 DNS。 如需更健全的地理負載平衡,您可以使用全域伺服器負載平衡解決方案,例如 Microsoft Azure 流量管理員。
下一步
VPN 安全性功能:本主題提供鎖定 VPN、Windows 資訊保護 (WIP) 與 VPN 整合,以及流量篩選器的 VPN 安全性指導方針概觀。
VPN 自動觸發設定檔選項:本主題提供 VPN 自動觸發設定檔選項的概觀,例如應用程式觸發程序、以名稱為基礎的觸發程序和 AlwaysOn。