Informazioni su VPN Always On

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10+

VPN Always On consente di:

• Creare scenari avanzati integrando sistemi operativi Windows e soluzioni di terze parti. Per un elenco delle integrazioni supportate, vedere Integrazioni supportate.

• Gestire la sicurezza di rete, limitare la connessione in base a tipi di traffico, applicazioni e metodi di autenticazione. Per un elenco delle funzionalità di sicurezza della VPN Always On, vedere Funzionalità di sicurezza.

• Configurare l'attivazione automatica per le connessioni autenticate da utenti e dispositivi. Per altre informazioni, vedere Funzionalità di connettività.

• Controllare la rete creando criteri di routing a livello granulare, anche fino a raggiungere la singola applicazione. Per altre informazioni, vedere Funzionalità di rete.

• Configurare le impostazioni VPN con un profilo XML standard (ProfileXML) definito da un modello di configurazione standard del settore. È possibile distribuire e gestire le impostazioni VPN con Windows PowerShell, Microsoft Endpoint Configuration Manager, Intune, Windows Configuration Designer o qualsiasi strumento di gestione di dispositivi mobili (MDM) di terze parti.

Integrazioni supportate

VPN Always On supporta i dispositivi aggiunti a un dominio, non aggiunti a un dominio (gruppo di lavoro) o aggiunti a un ID Microsoft Entra per consentire scenari aziendali e BYOD. La VPN Always On è disponibile in tutte le edizioni di Windows e le funzionalità della piattaforma sono disponibili per terze parti tramite il supporto del plug-in VPN della piattaforma UWP.

La VPN Always On supporta l'integrazione con le seguenti piattaforme:

• Windows Information Protection (WIP). L'integrazione con WIP consente di applicare i criteri di rete per determinare se il traffico è autorizzato a passare attraverso la VPN. Se il profilo utente è attivo e vengono applicati criteri WIP, la VPN Always On viene attivata automaticamente per la connessione. Inoltre, quando si usa WIP, non è necessario specificare le regole AppTriggerList e TrafficFilterList separatamente nel profilo VPN (a meno che non si desideri una configurazione più avanzata) perché i criteri e gli elenchi delle applicazioni WIP vengono applicati automaticamente.

• Windows Hello for Business. La VPN Always On supporta in modo nativo Windows Hello for Business in modalità di autenticazione basata su certificati. Il supporto nativo di Windows Hello offre un'esperienza di accesso Single Sign-On perfetta sia per l'accesso al computer che per la connessione alla VPN. Per la connessione VPN non è necessaria un'autenticazione secondaria (credenziali utente).

• Piattaforma di accesso condizionale di Microsoft Azure. Il client VPN Always On può integrarsi con la piattaforma di accesso condizionale di Azure per applicare l'autenticazione a più fattori, la conformità dei dispositivi o una combinazione dei due. Quando è conforme ai criteri di accesso condizionale, l'ID Microsoft Entra emette un certificato di autenticazione IP Security (IPsec) di breve durata (per impostazione predefinita, sessanta minuti). Il certificato IPSec può essere usato per eseguire l'autenticazione al gateway VPN. La conformità del dispositivo usa i criteri di conformità di Configuration Manager/Intune, che possono includere lo stato di attestazione dell'integrità del dispositivo come parte del controllo di conformità della connessione. Per altri dettagli, vedere VPN e accesso condizionale

• Piattaforma di autenticazione a più fattori Microsoft Entra. In combinazione con i servizi Remote Authentication Dial-In User Service (RADIUS) e l'estensione Server dei criteri di rete per l'autenticazione a più fattori Microsoft Entra, l'autenticazione VPN può usare la MFA avanzata.

• Plug-in VPN di terze parti. Con la piattaforma UWP (Universal Windows Platform), i provider VPN di terze parti possono creare una singola applicazione per l'intera gamma di dispositivi Windows. La piattaforma UWP offre un livello API core garantito tra i dispositivi, eliminando la complessità e i problemi spesso associati alla scrittura di driver a livello di kernel. Attualmente, i plug-in VPN della piattaforma UWP di Windows esistono per Pulse Secure, F5 Access, Check Point Capsule VPN, FortiClient, SonicWall Mobile Connect e GlobalProtect.

Funzionalità di sicurezza

La VPN Always On offre connettività alle risorse aziendali usando criteri di tunnel che richiedono l'autenticazione e la crittografia fino al raggiungimento del gateway VPN. Per impostazione predefinita, le sessioni del tunnel terminano nel gateway VPN, che funziona anche come gateway IKEv2, fornendo sicurezza end-to-edge.

Per informazioni dettagliate sulle opzioni di autenticazione VPN standard, vedere Opzioni di autenticazione VPN.

La VPN Always On supporta le seguenti funzionalità di sicurezza:

• Supporto del protocollo VPN IKEv2 standard del settore. Il client VPN Always On supporta IKEv2, uno dei protocolli di tunneling standard di settore più diffusi. Questa compatibilità ottimizza l'interoperabilità con i gateway VPN di terze parti.

• Interoperabilità con gateway VPN IKEv2 di terze parti. Il client VPN Always On supporta l'interoperabilità con i gateway VPN IKEv2 di terze parti. È anche possibile ottenere l'interoperabilità con i gateway VPN di terze parti usando un plug-in VPN della piattaforma UWP combinato con un tipo di tunneling personalizzato senza sacrificare le funzionalità e i vantaggi della piattaforma VPN Always On.

  Nota

  Consultare il fornitore del gateway o dell'appliance back-end di terze parti sulle configurazioni e sulla compatibilità con VPN Always On e tunnel del dispositivo usando IKEv2.

• Eseguire il fallback a SSTP da IKEv2. È possibile configurare il fallback per i client che si trovano dietro firewall o server proxy usando il tipo di tunnel/protocollo automatico all'interno del profilo VPN.

  Nota

  Il tunnel utente supporta SSTP e IKEv2 e il tunnel del dispositivo supporta solo IKEv2, senza supporto per il fallback SSTP.

• Supporto per l'autenticazione del certificato del computer. Il tipo di protocollo IKEv2 disponibile nell'ambito della piattaforma VPN Always On supporta specificamente l'uso di certificati macchina o computer per l'autenticazione VPN.

  Nota

  IKEv2 è l'unico protocollo supportato per il tunnel del dispositivo e non esiste un'opzione di supporto per il fallback SSTP. Per altre informazioni, vedere Configurare un tunnel del dispositivo VPN Always On.

• Filtri per traffico e app. Con le regole del firewall del traffico e delle app, è possibile specificare i criteri lato client che determinano il traffico e le app che possono connettersi all'interfaccia VPN.

  Sono disponibili due tipi di regole di filtro:

  • Regole basate su app. Le regole del firewall basate sulle applicazioni si riferiscono a un elenco di applicazioni specifiche, in modo che solo il traffico proveniente da queste app sia autorizzato a passare attraverso l'interfaccia VPN.

  • Regole basate su traffico. Le regole del firewall basate sul traffico sono basate su requisiti di rete come porte, indirizzi e protocolli. Utilizzare queste regole solo per il traffico che corrisponde a queste condizioni specifiche e che può passare attraverso l'interfaccia VPN.

  Nota

  Queste regole si applicano solo al traffico in uscita dal dispositivo. L'uso dei filtri del traffico blocca il traffico in ingresso dalla rete aziendale al client.

• Accesso condizionale VPN. L'accesso condizionato e la conformità dei dispositivi possono prevedere il rispetto di standard da parte dei dispositivi gestiti prima che questi possano connettersi alla VPN. L'accesso condizionale VPN consente di limitare le connessioni VPN ai dispositivi il cui certificato di autenticazione client contiene l'OID di accesso condizionale Microsoft Entra di 1.3.6.1.4.1.311.87. Per informazioni su come limitare le connessioni VPN direttamente nel server NPS vedere Configurare l'accesso condizionale VPN nel server dei criteri di rete. Per informazioni su come limitare le connessioni VPN con accesso condizionale Microsoft Entra, vedere Accesso condizionale per la connettività VPN usando l'ID Microsoft Entra.

• Limitare l'accesso remoto a utenti e dispositivi specifici. È possibile configurare la VPN Always On per consentire un'autorizzazione granulare quando si utilizza RADIUS, che include l'uso di gruppi di sicurezza per controllare l'accesso alla VPN.

• Definire i server di gestione accessibili prima dell'accesso utente. Usare la funzionalità tunnel del dispositivo (disponibile nella versione 1709, solo per IKEv2) nel profilo VPN combinato con filtri di traffico per controllare quali sistemi di gestione nella rete aziendale sono accessibili tramite il tunnel del dispositivo.

  Nota

  Se si attivano i filtri del traffico nel profilo tunnel del dispositivo, il tunnel del dispositivo nega il traffico in ingresso (dalla rete aziendale al client).

• VPN per app. La VPN per app è paragonabile a un filtro del traffico basato sulle app, ma va oltre e combina i trigger delle applicazioni con un filtro del traffico basato sulle app, in modo che la connettività VPN sia limitata a un'applicazione specifica anziché a tutte le applicazioni nel client VPN. La funzionalità viene avviata automaticamente all'avvio dell'app.

• Algoritmi di crittografia IPsec personalizzati. La VPN Always On supporta l'uso sia di RSA che di algoritmi crittografici personalizzati basati su curve ellittiche per soddisfare i rigorosi criteri di sicurezza aziendali o per enti pubblici.

• Supporto di EAP (Native Extensible Authentication Protocol). La VPN Always On supporta in modo nativo EAP, che consente di usare un set diversificato di tipi Microsoft e EAP di terze parti come parte del flusso di lavoro di autenticazione. EAP fornisce un'autenticazione sicura basata sui seguenti tipi di autenticazione:

  • Nome utente e password
  • Smart card (sia fisica che virtuale)
  • Ottenere certificati utente
  • Windows Hello for Business (Configurare Windows Hello for Business)
  • Supporto autenticazione a più fattore tramite l'integrazione RADIUS EAP

  Il fornitore dell'applicazione controlla i metodi di autenticazione dei plug-in VPN della piattaforma UWP di terze parti, anche se questi ultimi dispongono di una serie di opzioni disponibili, tra cui tipi di credenziali personalizzate e il supporto OTP.

• Autenticazione a due fattori di Windows Hello for Business per PC e dispositivi mobili. In Windows 10, Windows Hello for Business sostituisce le password fornendo un'autenticazione a due fattori avanzata nei PC e nei dispositivi mobili. Per altre informazioni, vedere Abilitazione dell'accesso remoto con Windows Hello for Business in Windows 10

• Autenticazione a più fattori Azure (MFA). L'autenticazione a più fattori Microsoft Entra dispone di versioni cloud e locali che è possibile integrare con il meccanismo di autenticazione VPN di Windows. Per maggiori informazioni, vedere Integrare l'autenticazione RADIUS con il server Azure Multi-Factor Authentication.

• Attestazione chiave TPM (Trusted Platform Module). Un certificato utente con una chiave attestata dal TPM offre una maggiore garanzia di sicurezza, rafforzata dalla non esportabilità, dall'anti-hammering e dall'isolamento delle chiavi fornite dal TPM.

Per altre informazioni sull'attestazione della chiave TPM in Windows 10, vedere Attestazionedella chiave TPM.

Funzionalità di connettività

La VPN Always On supporta le seguenti funzionalità di connettività:

• Attivazione automatica dell'applicazione. È possibile configurare la VPN Always On per supportare l'attivazione automatica in base alle richieste di avvio o risoluzione dello spazio dei nomi dell'applicazione. Per altre informazioni su come configurare l'attivazione automatica, vedere Opzioni del profilo VPN con attivazione automatica.

• Attivazione automatica basata sui nomi. Con Always On VPN, è possibile definire regole in modo che specifiche query di nomi di dominio attivino la connessione VPN. I dispositivi Windows supportano l'attivazione basata sul nome per le computer aggiunti a un dominio e per quelli non aggiunti a un dominio (in precedenza erano supportati solo i computer non aggiunti a un dominio).

• Rilevamento di rete attendibile. La VPN Always On include questa funzionalità per garantire che la connettività VPN non venga attivata se un utente è connesso a una rete affidabile all'interno del perimetro aziendale. È possibile combinare questa funzionalità con uno dei metodi di attivazione menzionati in precedenza, per offrire all'utente un'esperienza omogenea di "connessione solo quando necessario".

• Tunnel del dispositivo. La VPN Always On offre la possibilità di creare un profilo VPN dedicato per dispositivi o computer. A differenza del tunnel utente, che si connette solo dopo l'accesso di un utente al dispositivo o al computer, il tunnel del dispositivo consente alla VPN di stabilire una connessione prima dell'accesso dell'utente. Sia il tunnel del dispositivo che il tunnel dell'utente funzionano in modo indipendente con i rispettivi profili VPN, possono essere connessi contemporaneamente e possono usare diversi metodi di autenticazione e altre impostazioni di configurazione VPN, a seconda dei casi. Per informazioni su come configurare un tunnel del dispositivo, comprese le informazioni su come utilizzare manage-out per registrare dinamicamente gli indirizzi IP dei client nel DNS, vedere Configurare un tunnel del dispositivo VPN Always On.

  Nota

  Il tunnel del dispositivo può essere configurato solo su dispositivi aggiunti a un dominio che eseguono Windows 10 Enterprise o Education versione 1709 o successiva. Non è previsto il supporto per il controllo di terze parti del tunnel del dispositivo.

• Connectivity Assistant VPN Always On è completamente integrato con l'Assistente connettività di rete nativo e fornisce lo stato di connettività dall'interfaccia Visualizza tutte le reti. Con l'avvento di Windows 10 Creators Update (versione 1703), lo stato della connessione VPN e il controllo della connessione VPN per Il tunnel utente sono disponibili tramite il riquadro a comparsa Rete (per il client VPN predefinito di Windows).

Funzionalità di rete

La VPN Always On supporta le seguenti funzionalità di rete:

• Supporto dual stack per IPv4 e IPv6. La VPN Always On supporta in modo nativo l'uso di IPv4 e IPv6 in un approccio dual stack. Non ha una dipendenza specifica da un protocollo rispetto all'altro, il che consente la massima compatibilità delle applicazioni IPv4/IPv6 e il supporto delle future esigenze di rete IPv6.

• Criteri di routing specifici dell'applicazione. Oltre a definire i criteri di routing delle connessioni VPN globali per la separazione del traffico Internet e Intranet, è possibile aggiungere criteri di routing per controllare l'uso di configurazioni split tunnel o force tunnel in base alle singole applicazioni. Questa opzione consente un controllo più granulare su quali app possono interagire con quali risorse tramite il tunnel VPN.

• Route di esclusione. La VPN Always On supporta la possibilità di specificare route di esclusione che controllano in modo specifico il comportamento di routing in modo da definire quale traffico deve attraversare solo la VPN e non passare attraverso l'interfaccia di rete fisica.

  Nota

  Le route di esclusione funzionano per il traffico all'interno della stessa subnet del client, ad esempio LinkLocal. Le route di esclusione funzionano solo in una configurazione split tunnel.

• Supporto per più domini e foreste. La piattaforma VPN Always On non ha alcuna dipendenza dalle foreste di Active Directory Domain Services (AD DS) o dalla topologia di dominio (o dai livelli di funzionalità/schema associati) perché non richiede che il client VPN sia aggiunto al dominio per funzionare. I Criteri di gruppo non sono quindi una dipendenza per definire le impostazioni del profilo VPN perché non vengono usati in fase di configurazione del client. Quando è richiesta l'integrazione dell'autorizzazione di Active Directory, è possibile ottenerla tramite RADIUS come parte del processo di autenticazione e autorizzazione EAP.

• La VPN Always On può definire in modo nativo uno o più suffissi DNS come parte del processo di connessione VPN e di assegnazione dell'indirizzo IP, compresa la risoluzione dei nomi delle risorse aziendali per nomi brevi, FQDN o interi spazi di nomi DNS. La VPN Always On supporta anche l'uso di tabelle di criteri di risoluzione dei nomi per fornire una granularità di risoluzione specifica dello spazio dei nomi.

  Nota

  Evitare l'uso di suffissi globali, poiché interferiscono con la risoluzione dei nomi brevi quando si utilizzano le tabelle dei criteri di risoluzione dei nomi.

Funzionalità di disponibilità elevata

Di seguito sono riportate altre opzioni per la disponibilità elevata.

Resilienza del server e bilanciamento del carico. Negli ambienti che richiedono disponibilità elevata o supportano un numero elevato di richieste, è possibile aumentare le prestazioni e la resilienza di Accesso remoto configurando il bilanciamento del carico tra server dei criteri di rete e abilitando il cluster di server di Accesso remoto.

Resilienza geografica del sito. Per la geolocalizzazione basata su IP, è possibile utilizzare Global Traffic Manager con DNS in Windows Server. Per un bilanciamento del carico geografico più affidabile, è possibile usare soluzioni di bilanciamento del carico del server globale, ad esempio Gestione traffico di Microsoft Azure.

Passaggi successivi

• Installare Accesso remoto come server VPN

• Esercitazione: Distribuire una VPN Always On

• Funzionalità di sicurezza VPN: questo argomento fornisce una panoramica delle linee guida sulla sicurezza VPN per LockDown VPN, l'integrazione di Windows Information Protection (WIP) con la VPN e i filtri del traffico.

• Opzioni del profilo VPN con attivazione automatica: questo argomento fornisce una panoramica delle opzioni di attivazione automatica dei profili VPN, come l'attivazione dell'app, l'attivazione basata sul nome e la funzionalità Always On.

• Risolvere i problemi di VPN Always On