Informationen zu Always On VPN

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10 und höher

Always On VPN ermöglicht Folgendes:

  • Erstellen erweiterter Szenarien durch Integration von Windows-Betriebssystemen und Lösungen von Drittanbietern. Eine Liste der unterstützten Integrationen finden Sie unter Unterstützte Integrationen.

  • Warten der Netzwerksicherheit durch Einschränken der Verbindung nach Datenverkehrstypen, Anwendungen und Authentifizierungsmethoden. Eine Liste der Always On VPN-Sicherheitsfeatures finden Sie unter Sicherheitsfeatures.

  • Konfigurieren automatischer Trigger für benutzer- und geräteauthentifizierte Verbindungen. Weitere Informationen finden Sie unter Konnektivitätsfeatures.

  • Kontrollieren Ihres Netzwerks durch Erstellen differenzierter Routingrichtlinien bis hin zur individuellen Anwendung. Weitere Informationen finden Sie unter Netzwerkfeatures.

  • Konfigurieren Ihrer VPN-Einstellungen mit einem XML-Standardprofil (ProfileXML), das durch eine Konfigurationsvorlage nach Branchenstandard definiert wird. Sie können Ihre VPN-Einstellungen mit Windows PowerShell, Microsoft Endpoint Configuration Manager, Intune, Windows Configuration Designer oder einem beliebigen MDM-Tool (Mobile Device Management) von Drittanbietern bereitstellen und verwalten.

Unterstützte Integrationen

Always-On-VPN unterstützt Geräte, die mit einer Domäne verbunden sind, Geräte, die nicht mit einer Domäne verbunden sind (Arbeitsgruppen), und Geräte, die mit einer Microsoft Entra ID verbunden sind, um sowohl Unternehmens- als auch BYOD-Szenarien zu ermöglichen. Always On VPN ist in allen Windows-Editionen verfügbar, und die Plattformfeatures stehen Drittanbietern über die UWP-VPN-Plug-In-Unterstützung zur Verfügung.

Always On VPN unterstützt die Integration in folgende Plattformen:

  • Windows Information Protection (WIP). Die Integration in WIP ermöglicht die Erzwingung von Netzwerkrichtlinien, um zu bestimmen, ob Datenverkehr über das VPN übertragen werden darf. Wenn das Benutzerprofil aktiv ist und WIP-Richtlinien angewendet werden, wird Always On VPN automatisch ausgelöst, um eine Verbindung herzustellen. Wenn Sie WIP verwenden, müssen Sie außerdem keine AppTriggerList- und TrafficFilterList-Regeln separat im VPN-Profil angeben (es sei denn, Sie wünschen eine erweiterte Konfiguration), da die WIP-Richtlinien und Anwendungslisten automatisch wirksam werden.

  • Windows Hello for Business. Always On VPN unterstützt nativ Windows Hello for Business im zertifikatbasierten Authentifizierungsmodus. Die native Windows Hello-Unterstützung bietet eine nahtlose Funktionalität zum einmaligen Anmelden sowohl für die Anmeldung beim Computer als auch für die Verbindung mit dem VPN. Für die VPN-Verbindung ist keine sekundäre Authentifizierung (Benutzeranmeldeinformationen) erforderlich.

  • Microsoft Azure-Plattform für bedingten Zugriff. Der Always On VPN-Client kann in die Azure-Plattform für bedingten Zugriff integriert werden, um die Multi-Faktor-Authentifizierung (MFA), die Gerätekonformität oder eine Kombination aus beidem zu erzwingen. Bei Einhaltung der Richtlinien für bedingten Zugriff stellt Microsoft Entra ID ein kurzlebiges (standardmäßig sechzig Minuten) Ipsec-Authentifizierungszertifikat (IP Security) aus. Das IPsec-Zertifikat kann dann für die Authentifizierung beim VPN-Gateway verwendet werden. Die Gerätekonformität verwendet Configuration Manager-/Intune-Konformitätsrichtlinien, die den Zustand des Integritätsnachweises für Geräte im Rahmen der Verbindungskonformitätsprüfung einschließen können. Weitere Informationen finden Sie unter VPN und bedingter Zugriff.

  • Microsoft Entra-Plattform für Multi-Faktor-Authentifizierung. In Kombination mit RADIUS-Diensten (Remote Authentication Dial-In User Service) und der Erweiterung Network Policy Servers (NPS) für die Multi-Faktor-Authentifizierung von Microsoft Entra kann die VPN-Authentifizierung eine starke MFA nutzen.

  • VPN-Plug-Ins von Drittanbietern. Mit der universellen Windows-Plattform (UWP) können VPN-Drittanbieter eine einzige Anwendung für sämtliche Windows-Geräte erstellen. Die UWP bietet eine garantierte Kern-API-Ebene für alle Geräte, sodass die Komplexität und Probleme wegfallen, die häufig mit dem Schreiben von Treibern auf Kernelebene verbunden sind. Derzeit gibt es die VPN-Plug-Ins der Windows-UWP für Pulse Secure, F5 Access, Check Point Capsule VPN, FortiClient, SonicWall Mobile Connect und GlobalProtect.

Sicherheitsfeatures

Always On VPN bietet Verbindungen mit Unternehmensressourcen mithilfe von Tunnelrichtlinien, die Authentifizierung und Verschlüsselung erfordern, bis sie das VPN-Gateway erreichen. Standardmäßig werden die Tunnelsitzungen am VPN-Gateway beendet, das auch als IKEv2-Gateway fungiert und eine End-to-Edge-Sicherheit bietet.

Ausführliche Informationen zu Standard-VPN-Authentifizierungsoptionen finden Sie unter VPN-Authentifizierungsoptionen.

Always On VPN unterstützt die folgenden Sicherheitsfeatures:

  • Unterstützung des IKEv2-VPN-Protokolls nach Industriestandard. Der Always On VPN-Client unterstützt IKEv2, eines der heute am häufigsten verwendeten Branchenstandard-Tunnelprotokolle. Diese Kompatibilität maximiert die Interoperabilität mit VPN-Gateways von Drittanbietern.

  • Interoperabilität mit IKEv2-VPN-Gateways von Drittanbietern. Der Always On VPN-Client unterstützt die Interoperabilität mit IKEv2-VPN-Gateways von Drittanbietern. Sie können die Interoperabilität mit VPN-Gateways von Drittanbietern auch erreichen, indem Sie ein UWP-VPN-Plug-In in Kombination mit einem benutzerdefinierten Tunneltyp verwenden, ohne auf Features und Vorteile der Always On VPN-Plattform verzichten zu müssen.

    Hinweis

    Wenden Sie sich bezüglich der Konfigurationen und Kompatibilität mit Always On VPN und Gerätetunnel unter Verwendung von IKEv2 an den Anbieter Ihres Gateways oder Ihrer Back-End-Appliance eines Drittanbieters.

  • Fallback von IKEv2 auf SSTP. Sie können Fallbacks für Clients konfigurieren, die sich hinter Firewalls oder Proxyservern befinden, indem Sie den automatischen Tunnel-/Protokolltyp innerhalb des VPN-Profils verwenden.

    Hinweis

    Der Benutzertunnel unterstützt SSTP und IKEv2, und der Gerätetunnel unterstützt nur IKEv2, ohne Unterstützung von SSTP-Fallback.

  • Unterstützung für die Computerzertifikatauthentifizierung. Der IKEv2-Protokolltyp, der als Teil der Always On VPN-Plattform verfügbar ist, unterstützt speziell die Verwendung von Computerzertifikaten für die VPN-Authentifizierung.

    Hinweis

    IKEv2 ist das einzige unterstützte Protokoll für den Gerätetunnel, und es gibt keine Unterstützungsoption für das SSTP-Fallback. Weitere Informationen finden Sie unter Konfigurieren eines Always On VPN-Gerätetunnels.

  • Datenverkehrs- und App-Filter. Mit Datenverkehrs- und App-Firewallregeln können Sie clientseitige Richtlinien angeben, die bestimmen, welcher Datenverkehr und welche Apps eine Verbindung mit der VPN-Schnittstelle herstellen dürfen.

    Es stehen zwei Arten von Filterregeln zur Verfügung:

    • App-basierte Regeln. App-basierte Firewallregeln basieren auf einer Liste angegebener Anwendungen, sodass nur Datenverkehr über die VPN-Schnittstelle geleitet werden darf, der von diesen Apps stammt.

    • Datenverkehrsbasierte Regeln. Auf Datenverkehr basierende Firewallregeln basieren auf Netzwerkanforderungen wie Ports, Adressen und Protokollen. Nur Datenverkehr, der diese spezifischen Bedingungen erfüllt, darf über die VPN-Schnittstelle laufen.

    Hinweis

    Diese Regeln gelten nur für vom Gerät ausgehenden Datenverkehr. Die Verwendung von Datenverkehrsfiltern blockiert aus dem Unternehmensnetzwerk beim Client eingehenden Datenverkehr.

  • Bedingter VPN-Zugriff. Bedingter Zugriff und Gerätekonformität können erfordern, dass verwaltete Geräte Standards erfüllen, bevor sie eine Verbindung mit dem VPN herstellen können. Der bedingte Zugriff auf VPNs bietet Ihnen die Möglichkeit, die VPN-Verbindungen auf die Geräte zu beschränken, deren Client-Authentifizierungszertifikat die Microsoft Entra-OID für bedingten Zugriff 1.3.6.1.4.1.311.87 enthält. Informationen zum Einschränken der VPN-Verbindungen direkt auf dem NPS-Server finden Sie unter Konfigurieren des bedingten VPN-Zugriffs auf den Netzwerkrichtlinienserver (Network Policy Server, NPS). Wie Sie die VPN-Verbindungen mit Microsoft Entra bedingtem Zugriff einschränken können, erfahren Sie unter Bedingter Zugriff für VPN-Verbindungen mit Microsoft Entra ID.

  • Beschränken des Remotezugriffs auf bestimmte Benutzer*innen und Geräte. Sie können Always On VPN so konfigurieren, dass die präzise Autorisierung einschließlich der Verwendung von Sicherheitsgruppen zum Steuern des VPN-Zugriffs bei Verwendung von RADIUS unterstützt wird.

  • Definieren zugänglicher Verwaltungsserver vor der Benutzeranmeldung. Verwenden Sie das Gerätetunnelfeature (verfügbar in Version 1709 – nur für IKEv2) im VPN-Profil kombiniert mit Datenverkehrsfiltern verwenden, um zu steuern, auf welche Verwaltungssysteme im Unternehmensnetzwerk über den Gerätetunnel zugegriffen werden kann.

    Hinweis

    Wenn Sie Datenverkehrsfilter im Gerätetunnelprofil aktivieren, verweigert der Gerätetunnel eingehenden Datenverkehr (vom Unternehmensnetzwerk zum Client).

  • Pro-App-VPN. Pro-App-VPN ist wie ein Datenverkehrsfilter auf App-Basis, geht aber noch einen Schritt weiter und kombiniert Anwendungstrigger mit einem Datenverkehrsfilter auf App-Basis, sodass die VPN-Konnektivität auf eine bestimmte Anwendung beschränkt ist und nicht für alle Anwendungen auf dem VPN-Client gilt. Das Feature wird automatisch initiiert, wenn die App gestartet wird.

  • Benutzerdefinierte IPsec-Kryptografiealgorithmen. Always On VPN unterstützt sowohl die Verwendung von auf RSA-Kryptografie als auch auf Kryptografie für elliptische Kurven basierenden benutzerdefinierten Kryptografiealgorithmen, um strenge Sicherheitsrichtlinien von Behörden oder Organisationen zu erfüllen.

  • Native EAP-Unterstützung (Extensible Authentication Protocol). Always On VPN unterstützt nativ EAP, was Ihnen die Verwendung verschiedener EAP-Typen von Microsoft und Drittanbietern als Teil des Authentifizierungsworkflows ermöglicht. EAP bietet eine auf den folgenden Authentifizierungstypen basierende sichere Authentifizierung:

    • Benutzername und Kennwort
    • Smartcard (physisch und virtuell)
    • Benutzerzertifikate
    • Windows Hello for Business
    • MFA-Unterstützung durch EAP RADIUS-Integration

    Der Anwendungsanbieter steuert UWP-VPN-Plug-In-Authentifizierungsmethoden von Drittanbietern, obwohl diese eine Reihe von verfügbaren Optionen einschließlich benutzerdefinierter Anmeldeinformationstypen und OTP-Unterstützung haben.

  • Zwei-Faktor-Authentifizierung von Windows Hello for Business auf PCs und Mobilgeräten. Unter Windows 10 können Sie über Windows Hello for Business Kennwörter durch Bereitstellen einer sicheren Zwei-Faktor-Authentifizierung auf PCs und Mobilgeräten ersetzen. Weitere Informationen finden Sie unter Aktivieren des Remotezugriffs mit Windows Hello for Business in Windows 10.

  • Azure AD Multifactor Authentication (MFA). Für die Microsoft Entra-Multi-Faktor-Authentifizierung gibt es Cloud- und lokale Versionen, die Sie in den Windows-VPN-Authentifizierungsmechanismus integrieren können. Weitere Informationen finden Sie unter Integration der RADIUS-Authentifizierung mit dem Azure Multi-Factor Authentication-Server.

  • TPM-Schlüsselnachweis (Trusted Platform Module). Das Benutzerzertifikat gewährleistet mit einem durch das TPM bestätigten Schlüssel höhere Sicherheit, da die vom TPM bereitgestellten Schlüssel nicht exportiert werden können, isoliert sind und vor Hammering-Angriffen (Angriff durch schnelle Wiederholung der Anmeldedateneingabe) geschützt sind.

Weitere Informationen zum TPM-Schlüsselnachweis in Windows 10 finden Sie unter TPM-Schlüsselnachweis.

Konnektivitätsfeatures

Always On VPN unterstützt die folgenden Konnektivitätsfeatures:

  • Automatisches Auslösen von Anwendungen. Sie können Always On VPN konfigurieren, um die automatische Auslösung basierend auf Anwendungsstart- oder Namespaceauflösungs-Anforderungen zu unterstützen. Weitere Informationen zum Konfigurieren automatischer Trigger finden Sie unter Profiloptionen für automatische VPN-Trigger.

  • Auf Namen basierende automatische Trigger. Mit Always On VPN können Sie Regeln definieren, damit bestimmte Domänennamenabfragen die VPN-Verbindung auslösen. Windows-Geräte unterstützen jetzt das namensbasierte Auslösen für in die Domäne eingebundene und nicht in die Domäne eingebundene Computer (bisher wurden nur nicht in die Domäne eingebundene Computer unterstützt).

  • Erkennung vertrauenswürdiger Netzwerke. Always On VPN enthält dieses Feature, um sicherzustellen, dass die VPN-Konnektivität nicht ausgelöst wird, wenn ein*e Benutzer*in mit einem vertrauenswürdigen Netzwerk innerhalb der Unternehmensgrenze verbunden ist. Sie können dieses Feature mit einer der oben erwähnten Auslösemethoden kombinieren, um eine nahtlose „Nur bei Bedarf verbinden“-Benutzererfahrung zu schaffen.

  • Gerätetunnel. Mit Always On VPN können Sie ein dediziertes VPN-Profil für ein Gerät oder einen Computer erstellen. Im Gegensatz zum Benutzertunnel, bei dem nur eine Verbindung hergestellt wird, nachdem sich ein Benutzer am Gerät oder Computer angemeldet hat, ermöglicht der Gerätetunnel dem VPN, vor der Benutzeranmeldung Konnektivität herzustellen. Sowohl Gerätetunnel als auch Benutzertunnel arbeiten unabhängig mit ihren VPN-Profilen, können gleichzeitig verbunden werden und je nach Bedarf verschiedene Authentifizierungsmethoden und andere VPN-Konfigurationseinstellungen verwenden. Informationen zum Konfigurieren eines Gerätetunnels, einschließlich Informationen zur Verwendung der Remoteverwaltung zur dynamischen Registrierung von Client-IP-Adressen in DNS, finden Sie unter Konfigurieren eines Always On VPN-Gerätetunnels.

    Hinweis

    Der Gerätetunnel kann nur auf In die Domäne eingebundenen Geräten konfiguriert werden, auf denen Windows 10 Enterprise oder Education Version 1709 oder höher ausgeführt wird. Die Steuerung des Gerätetunnels durch Drittanbieter wird nicht unterstützt.

  • Konnektivitäts-Assistent. Always On VPN ist vollständig in den nativen Netzwerkkonnektivitäts-Assistenten integriert und stellt den Konnektivitätsstatus über die Schnittstelle „Alle Netzwerke anzeigen“ bereit. Mit dem Aufkommen von Windows 10 Creators Update (Version 1703) sind der VPN-Verbindungsstatus und die VPN-Verbindungssteuerung für den Benutzertunnel über das Netzwerk-Flyout (für den integrierten Windows-VPN-Client) verfügbar.

Netzwerkfeatures

Always On VPN unterstützt die folgenden Netzwerkfeatures:

  • Dualer-Stapel-Unterstützung für IPv4 und IPv6. Always On VPN unterstützt nativ die Verwendung von IPv4 und IPv6 in einem Dualer-Stapel-Ansatz. Es weist keine spezifische Abhängigkeit von einem Protokoll im Vergleich zum anderen auf, was eine maximale IPv4/IPv6-Anwendungskompatibilität in Kombination mit Unterstützung zukünftiger IPv6-Netzwerkanforderungen ermöglicht.

  • Anwendungsspezifische Routingrichtlinien. Zusätzlich zur Definition globaler VPN-Verbindungsroutingrichtlinien für die Trennung von Internet- und Intranetdatenverkehr ist es möglich, Routingrichtlinien hinzuzufügen, um die Verwendung von geteilten Tunneln (Split Tunneling) zu steuern oder Tunnelkonfigurationen pro Anwendung zu erzwingen. Mit dieser Option können Sie präziser steuern, welche Apps mit welchen Ressourcen über den VPN-Tunnel interagieren dürfen.

  • Ausschlussrouten. Always On VPN unterstützt die Möglichkeit, Ausschlussrouten anzugeben, die speziell das Routingverhalten steuern, um zu definieren, welcher Datenverkehr nur das VPN durchlaufen und nicht über die physische Netzwerkschnittstelle geleitet werden soll.

    Hinweis

    Ausschlussrouten funktionieren derzeit für Datenverkehr innerhalb desselben Subnetzes, das auch der Client nutzt, z. B. LinkLocal. Ausschlussrouten funktionieren nur in einem Split-Tunneling-Setup.

  • Unterstützung für mehrere Domänen und Gesamtstrukturen. Die Always On VPN-Plattform ist nicht von AD DS-Gesamtstrukturen (Active Directory Domain Services) oder Domänentopologien (oder zugeordneten Funktions-/Schemaebenen) abhängig, da der VPN-Client nicht in die Domäne eingebunden sein muss. Die Gruppenrichtlinie ist daher keine Abhängigkeit zum Definieren von VPN-Profileinstellungen, da Sie sie während der Clientkonfiguration nicht verwenden. Wenn die Integration der Active Directory-Autorisierung erforderlich ist, können Sie sie über RADIUS im Rahmen des EAP-Authentifizierungs- und Autorisierungsprozesses erreichen.

  • Namensauflösung von Unternehmensressourcen über Kurznamen, vollqualifizierten Domänennamen (FQDN) und DNS-Suffix. Always On VPN kann ein oder mehrere DNS-Suffixe nativ als Teil des VPN-Verbindungs- und IP-Adresszuweisungsprozesses definieren, einschließlich der Namensauflösung von Unternehmensressourcen für Kurznamen, FQDNs oder ganzer DNS-Namespaces. Always On VPN unterstützt auch die Verwendung von Namensauflösungsrichtlinientabellen, um namespacespezifische Auflösungsgranularität bereitzustellen.

    Hinweis

    Vermeiden Sie die Verwendung von globalen Suffixen, da diese die Kurznamenauflösung bei Verwendung von Namensauflösungsrichtlinien-Tabellen beeinträchtigen.

Hochverfügbarkeitsfeatures

Im Folgenden sind weitere Optionen für Hochverfügbarkeit aufgeführt.

Serverresilienz und Lastenausgleich. In Umgebungen, die Hochverfügbarkeit erfordern oder eine große Anzahl von Anforderungen unterstützen, können Sie die Leistung und Resilienz des Remotezugriffs erhöhen, indem Sie den Lastenausgleich zwischen Netzwerkrichtlinienservern (Network Policy Servers, NPS) konfigurieren und Remotezugriffs-Serverclustering aktivieren.

Resilienz geografischer Standorte. Für IP-basierte geografische Standorte können Sie Global Traffic Manager mit DNS unter Windows Server verwenden. Für einen stabileren geografischen Lastenausgleich können Sie Lastenausgleichslösungen des globalen Servers verwenden, z. B. Microsoft Azure Traffic Manager.

Nächste Schritte