Tentang Always On VPN
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10+
Vpn AlwaysOn memungkinkan Anda untuk:
Buat skenario tingkat lanjut dengan mengintegrasikan sistem operasi Windows dan solusi pihak ketiga. Untuk daftar integrasi yang didukung, lihat Integrasi yang didukung.
Menjaga keamanan jaringan, membatasi koneksi berdasarkan jenis lalu lintas, aplikasi, dan metode autentikasi. Untuk daftar fitur keamanan AlwaysOn VPN, lihat Fitur keamanan.
Konfigurasikan pemicu otomatis untuk koneksi terautentikasi pengguna dan perangkat. Untuk informasi selengkapnya, lihat fitur Koneksi ivity.
Kontrol jaringan Anda dengan membuat kebijakan perutean pada tingkat terperinci; bahkan hingga ke aplikasi individual. Untuk informasi selengkapnya, lihat Fitur jaringan.
Konfigurasikan pengaturan VPN Anda dengan profil XML standar (ProfileXML) yang ditentukan oleh templat konfigurasi standar industri. Anda dapat menyebarkan dan mengelola pengaturan VPN Anda dengan Windows PowerShell, Microsoft Endpoint Configuration Manager, Intune, Windows Configuration Designer, atau alat manajemen perangkat seluler (MDM) pihak ketiga mana pun.
Integrasi yang didukung
Always On VPN mendukung perangkat yang bergabung dengan domain, nondomain-joined (grup kerja), atau Microsoft Entra ID-joined untuk memungkinkan skenario perusahaan dan BYOD. Always On VPN tersedia di semua edisi Windows, dan fitur platform tersedia untuk pihak ketiga melalui dukungan plug-in VPN UWP.
Always On VPN mendukung integrasi dengan platform berikut:
Perlindungan Informasi Windows (WIP). Integrasi dengan WIP memungkinkan penegakan kebijakan jaringan untuk menentukan apakah lalu lintas diizinkan untuk melalui VPN. Jika profil pengguna aktif dan kebijakan WIP diterapkan, Vpn AlwaysOn secara otomatis dipicu untuk tersambung. Selain itu, ketika Anda menggunakan WIP, tidak perlu menentukan
AppTriggerListdanTrafficFilterListaturan secara terpisah di profil VPN (kecuali Anda menginginkan konfigurasi yang lebih canggih) karena kebijakan WIP dan daftar aplikasi secara otomatis berlaku.Windows Hello untuk Bisnis. Always On VPN secara asli mendukung Windows Hello untuk Bisnis dalam mode autentikasi berbasis sertifikat. Dukungan Windows Hello asli memberikan pengalaman akses menyeluruh yang mulus untuk masuk ke komputer, serta koneksi ke VPN. Tidak ada autentikasi sekunder (kredensial pengguna) yang diperlukan untuk koneksi VPN.
Platform akses bersyarah Microsoft Azure. Klien Always On VPN dapat berintegrasi dengan platform akses bersyarkat Azure untuk memberlakukan autentikasi multifaktor (MFA), kepatuhan perangkat, atau kombinasi keduanya. Saat mematuhi kebijakan akses bersuhidan, ID Microsoft Entra mengeluarkan sertifikat autentikasi IP Security (IPsec) berumur pendek (secara default, enam puluh menit). Sertifikat IPSec kemudian dapat digunakan untuk mengautentikasi ke gateway VPN. Kepatuhan perangkat menggunakan kebijakan kepatuhan Configuration Manager/Intune, yang dapat menyertakan status pengesahan kesehatan perangkat sebagai bagian dari pemeriksaan kepatuhan koneksi. Untuk detail selengkapnya, lihat VPN dan akses bersyarah
Platform autentikasi multifaktor Microsoft Entra. Ketika dikombinasikan dengan layanan Layanan Pengguna Dial-In Autentikasi Jarak Jauh (RADIUS) dan ekstensi Server Kebijakan Jaringan (NPS) untuk autentikasi multifaktor Microsoft Entra, autentikasi VPN dapat menggunakan MFA yang kuat.
Plug-in VPN pihak ketiga. Dengan Platform Windows Universal (UWP), penyedia VPN pihak ketiga dapat membuat satu aplikasi untuk berbagai perangkat Windows. UWP menyediakan lapisan API inti yang dijamin di seluruh perangkat, menghilangkan kompleksitas dan masalah yang sering dikaitkan dengan penulisan driver tingkat kernel. Saat ini, plug-in VPN Windows UWP ada untuk Pulse Secure, F5 Access, Check Point Capsule VPN, FortiClient, SonicWall Mobile Koneksi, dan GlobalProtect.
Fitur keamanan
Always On VPN menyediakan konektivitas ke sumber daya perusahaan dengan menggunakan kebijakan terowongan yang memerlukan autentikasi dan enkripsi hingga mencapai gateway VPN. Secara default, sesi terowongan berakhir di gateway VPN, yang juga berfungsi sebagai gateway IKEv2, memberikan keamanan end-to-edge.
Untuk detail tentang opsi autentikasi VPN standar, lihat Opsi autentikasi VPN.
AlwaysOn VPN mendukung fitur keamanan berikut:
Dukungan protokol VPN IKEv2 standar industri. Klien Always On VPN mendukung IKEv2, salah satu protokol penerowongan standar industri yang paling banyak digunakan saat ini. Kompatibilitas ini memaksimalkan interoperabilitas dengan gateway VPN pihak ketiga.
Interoperabilitas dengan gateway VPN IKEv2 pihak ketiga. Klien Always On VPN mendukung interoperabilitas dengan gateway VPN IKEv2 pihak ketiga. Anda juga dapat mencapai interoperabilitas dengan gateway VPN pihak ketiga dengan menggunakan plug-in VPN UWP yang dikombinasikan dengan jenis penerowongan kustom tanpa mengorbankan fitur dan manfaat platform VPN AlwaysOn.
Catatan
Konsultasikan dengan gateway atau vendor appliance back-end pihak ketiga Anda tentang konfigurasi dan kompatibilitas dengan Always On VPN dan Device Tunnel menggunakan IKEv2.
Kembali ke SSTP dari IKEv2. Anda dapat mengonfigurasi fallback untuk klien yang berada di belakang firewall atau server proksi dengan menggunakan jenis terowongan/protokol otomatis dalam profil VPN.
Catatan
Terowongan Pengguna mendukung SSTP dan IKEv2, dan Device Tunnel hanya mendukung IKEv2, tanpa dukungan untuk fallback SSTP.
Dukungan untuk autentikasi sertifikat mesin. Jenis protokol IKEv2 yang tersedia sebagai bagian dari platform Always On VPN secara khusus mendukung penggunaan sertifikat komputer atau komputer untuk autentikasi VPN.
Catatan
IKEv2 adalah satu-satunya protokol yang didukung untuk Terowongan Perangkat dan tidak ada opsi dukungan untuk fallback SSTP. Untuk informasi selengkapnya, lihat Mengonfigurasi terowongan perangkat VPN AlwaysOn.
Filter lalu lintas dan aplikasi. Dengan aturan firewall lalu lintas dan aplikasi, Anda dapat menentukan kebijakan sisi klien yang menentukan lalu lintas dan aplikasi mana yang diizinkan untuk terhubung ke antarmuka VPN.
Tersedia dua jenis aturan pemfilteran:
Aturan berbasis aplikasi. Aturan firewall berbasis aplikasi didasarkan pada daftar aplikasi tertentu sehingga hanya lalu lintas yang berasal dari aplikasi ini yang diizinkan untuk melewati antarmuka VPN.
Aturan berbasis lalu lintas. Aturan firewall berbasis lalu lintas didasarkan pada persyaratan jaringan seperti port, alamat, dan protokol. Gunakan aturan ini hanya untuk lalu lintas yang cocok dengan kondisi spesifik ini diizinkan untuk melewati antarmuka VPN.
Catatan
Aturan ini hanya berlaku untuk lalu lintas keluar dari perangkat. Penggunaan filter lalu lintas memblokir lalu lintas masuk dari jaringan perusahaan ke klien.
Akses berskala VPN. Akses bersyarat dan kepatuhan perangkat dapat mengharuskan perangkat terkelola memenuhi standar sebelum dapat terhubung ke VPN. Akses bersyarkat VPN memungkinkan Anda membatasi koneksi VPN ke perangkat yang sertifikat autentikasi kliennya berisi OID Akses Bersyar Microsoft Entra dari
1.3.6.1.4.1.311.87. Untuk mempelajari cara membatasi koneksi VPN langsung di server NPS, lihat Mengonfigurasi akses bersyar vpn di Server Kebijakan Jaringan. Untuk mempelajari cara membatasi koneksi VPN dengan Microsoft Entra Conditional Access, lihat Akses bersyarkat untuk konektivitas VPN menggunakan MICROSOFT Entra ID.Batasi akses jarak jauh ke pengguna dan perangkat tertentu. Anda dapat mengonfigurasi AlwaysOn VPN untuk mendukung otorisasi terperinci saat menggunakan RADIUS, yang mencakup penggunaan grup keamanan untuk mengontrol akses VPN.
Tentukan server manajemen yang dapat diakses sebelum masuk pengguna. Gunakan fitur Terowongan Perangkat (tersedia dalam versi 1709 - hanya untuk IKEv2) di profil VPN yang dikombinasikan dengan filter lalu lintas untuk mengontrol sistem manajemen mana di jaringan perusahaan yang dapat diakses melalui Terowongan Perangkat.
Catatan
Jika Anda mengaktifkan filter lalu lintas di profil Terowongan Perangkat, maka Terowongan Perangkat menolak lalu lintas masuk (dari jaringan perusahaan ke klien).
VPN per aplikasi. VPN per aplikasi seperti memiliki filter lalu lintas berbasis aplikasi, tetapi lebih jauh untuk menggabungkan pemicu aplikasi dengan filter lalu lintas berbasis aplikasi sehingga konektivitas VPN dibatasi ke aplikasi tertentu dibandingkan dengan semua aplikasi pada klien VPN. Fitur ini secara otomatis dimulai saat aplikasi dimulai.
Algoritma kriptografi IPsec yang disesuaikan. Always On VPN mendukung penggunaan algoritma kriptografi kustom berbasis kriptografi kurva RSA dan elips untuk memenuhi kebijakan keamanan pemerintah atau organisasi yang ketat.
Dukungan Native Extensible Authentication Protocol (EAP). Always On VPN secara asli mendukung EAP, yang memungkinkan Anda menggunakan beragam jenis Microsoft dan EAP pihak ketiga sebagai bagian dari alur kerja autentikasi. EAP menyediakan autentikasi aman berdasarkan jenis autentikasi berikut:
- Nama pengguna dan kata sandi
- Kartu pintar (baik fisik maupun virtual)
- Sertifikat pengguna
- Windows Hello for Business
- Dukungan MFA melalui integrasi EAP RADIUS
Vendor aplikasi mengontrol metode autentikasi plug-in VPN UWP pihak ketiga, meskipun mereka memiliki array opsi yang tersedia, termasuk jenis kredensial kustom dan dukungan OTP.
Windows Hello untuk Bisnis autentikasi dua faktor pada PC dan perangkat seluler. Di Windows 10, Windows Hello untuk Bisnis mengganti kata sandi dengan menyediakan autentikasi dua faktor yang kuat pada PC dan perangkat seluler. Untuk informasi selengkapnya, lihat Mengaktifkan Akses Jarak Jauh dengan Windows Hello untuk Bisnis di Windows 10
Autentikasi multifaktor Azure (MFA). Autentikasi multifaktor Microsoft Entra memiliki versi cloud dan lokal yang dapat Anda integrasikan dengan mekanisme autentikasi VPN Windows. Untuk informasi selengkapnya, lihat Mengintegrasikan autentikasi RADIUS dengan Azure Multi-Factor Authentication Server.
Pengesahan Kunci Modul Platform Tepercaya (TPM). Sertifikat pengguna yang memiliki kunci yang dites TPM memberikan jaminan keamanan yang lebih tinggi, dicadangkan oleh non-ekspor, anti-palu, dan isolasi kunci yang disediakan oleh TPM.
Untuk informasi selengkapnya tentang pengesahan kunci TPM di Windows 10, lihat Pengesahan Kunci TPM.
fitur Koneksi ivity
Always On VPN mendukung fitur konektivitas berikut:
Pemicu otomatis aplikasi. Anda dapat mengonfigurasi AlwaysOn VPN untuk mendukung pemicu otomatis berdasarkan permintaan peluncuran aplikasi atau resolusi namespace layanan. Untuk informasi selengkapnya tentang cara mengonfigurasi pemicu otomatis, lihat Opsi profil yang dipicu otomatis VPN.
Pemicu otomatis berbasis nama. Dengan Always On VPN, Anda dapat menentukan aturan sehingga kueri nama domain tertentu memicu koneksi VPN. Perangkat Windows mendukung pemicu berbasis nama untuk komputer yang bergabung dengan domain dan nondomain (sebelumnya, hanya komputer yang bergabung dengan nondomain yang didukung).
Deteksi jaringan tepercaya. Always On VPN menyertakan fitur ini untuk memastikan bahwa konektivitas VPN tidak dipicu jika pengguna terhubung ke jaringan tepercaya dalam batas perusahaan. Anda dapat menggabungkan fitur ini dengan salah satu metode pemicu yang disebutkan sebelumnya untuk memberikan pengalaman pengguna "hanya terhubung saat diperlukan" yang mulus.
Terowongan Perangkat. Always On VPN memberi Anda kemampuan untuk membuat profil VPN khusus untuk perangkat atau mesin. Tidak seperti Terowongan Pengguna, yang hanya terhubung setelah pengguna masuk ke perangkat atau mesin, Terowongan Perangkat memungkinkan VPN untuk membangun konektivitas sebelum pengguna masuk. Terowongan Perangkat dan Terowongan Pengguna beroperasi secara independen dengan profil VPN mereka, dapat dihubungkan secara bersamaan, dan dapat menggunakan metode autentikasi yang berbeda dan pengaturan konfigurasi VPN lainnya yang sesuai. Untuk informasi tentang cara mengonfigurasi terowongan perangkat, termasuk informasi tentang cara menggunakan kelola untuk mendaftarkan alamat IP klien secara dinamis di DNS, lihat Mengonfigurasi terowongan perangkat VPN AlwaysOn.
Catatan
Terowongan Perangkat hanya dapat dikonfigurasi pada perangkat yang bergabung dengan domain yang menjalankan Windows 10 Enterprise atau Education versi 1709 atau yang lebih baru. Tidak ada dukungan untuk kontrol pihak ketiga atas Terowongan Perangkat.
Asisten Koneksi ivity Always On VPN sepenuhnya terintegrasi dengan Network Koneksi ivity Assistant asli dan menyediakan status konektivitas dari antarmuka Lihat Semua Jaringan. Dengan munculnya Windows 10 Creators Update (versi 1703), status koneksi VPN dan kontrol koneksi VPN untuk Terowongan Pengguna tersedia melalui flyout Jaringan (untuk klien VPN bawaan Windows).
Fitur jaringan
AlwaysOn VPN mendukung fitur jaringan berikut:
Dukungan tumpukan ganda untuk IPv4 dan IPv6. Always On VPN secara asli mendukung penggunaan IPv4 dan IPv6 dalam pendekatan dual-stack. Ini tidak memiliki dependensi khusus pada satu protokol di atas yang lain, yang memungkinkan kompatibilitas aplikasi IPv4/IPv6 maksimum dikombinasikan dengan dukungan untuk kebutuhan jaringan IPv6 di masa mendatang.
Kebijakan perutean khusus aplikasi. Selain menentukan kebijakan perutean koneksi VPN global untuk pemisahan lalu lintas internet dan intranet, Anda dapat menambahkan kebijakan perutean untuk mengontrol penggunaan terowongan terpisah atau memaksa konfigurasi terowongan berdasarkan per aplikasi. Opsi ini memberi Anda kontrol yang lebih terperinci atas aplikasi mana yang diizinkan untuk berinteraksi dengan sumber daya mana melalui terowongan VPN.
Rute pengecualian. Always On VPN mendukung kemampuan untuk menentukan rute pengecualian yang secara khusus mengontrol perilaku perutean untuk menentukan lalu lintas mana yang harus melintasi VPN saja dan tidak melalui antarmuka jaringan fisik.
Catatan
Rute pengecualian berfungsi untuk lalu lintas dalam subnet yang sama dengan klien seperti LinkLocal. Rute pengecualian hanya berfungsi dalam penyiapan Terowongan Terpisah.
Dukungan untuk beberapa domain dan forest. Platform VPN Always On tidak memiliki dependensi pada forest Active Directory Domain Services (AD DS) atau topologi domain (atau tingkat fungsional/skema terkait) karena tidak mengharuskan klien VPN untuk bergabung dengan domain agar berfungsi. Oleh karena itu, Kebijakan Grup bukan dependensi untuk menentukan pengaturan profil VPN karena Anda tidak menggunakannya selama konfigurasi klien. Jika integrasi otorisasi Direktori Aktif diperlukan, Anda dapat mencapainya melalui RADIUS sebagai bagian dari proses autentikasi dan otorisasi EAP.
Resolusi nama sumber daya perusahaan menggunakan nama pendek, nama domain yang sepenuhnya memenuhi syarat (FQDN), dan akhiran DNS. Always On VPN dapat secara asli menentukan satu atau beberapa akhiran DNS sebagai bagian dari koneksi VPN dan proses penetapan alamat IP, termasuk resolusi nama sumber daya perusahaan untuk nama pendek, FQDN, atau seluruh namespace DNS. Always On VPN juga mendukung penggunaan Tabel Kebijakan Resolusi Nama untuk memberikan granularitas resolusi khusus namespace layanan.
Catatan
Hindari penggunaan Akhiran Global saat mengganggu resolusi nama pendek saat menggunakan tabel Kebijakan Resolusi Nama.
Fitur ketersediaan tinggi
Berikut ini adalah opsi lainnya untuk ketersediaan tinggi.
Ketahanan server dan penyeimbangan beban. Di lingkungan yang memerlukan ketersediaan tinggi atau mendukung sejumlah besar permintaan, Anda dapat meningkatkan performa dan ketahanan Akses Jarak Jauh dengan mengonfigurasi penyeimbangan beban antara Server Kebijakan Jaringan (NPS) dan dengan mengaktifkan pengklusteran server Akses Jarak Jauh.
Ketahanan situs geografis. Untuk geolokasi berbasis IP, Anda dapat menggunakan Global Traffic Manager dengan DNS di Windows Server. Untuk penyeimbangan beban geografis yang lebih kuat, Anda dapat menggunakan solusi Penyeimbangan Beban Server Global, seperti Microsoft Azure Traffic Manager.
Langkah berikutnya
Fitur keamanan VPN: Topik ini memberikan gambaran umum panduan keamanan VPN untuk integrasi VPN LockDown, Perlindungan Informasi Windows (WIP) dengan VPN, dan filter lalu lintas.
Opsi profil yang dipicu otomatis VPN: Topik ini memberikan gambaran umum opsi profil yang dipicu otomatis VPN, seperti pemicu aplikasi, pemicu berbasis nama, dan AlwaysOn.