Sobre a VPN Always On

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10 e posterior

A VPN Always On permite que você:

• Crie cenários avançados, integrando sistemas operacionais Windows e soluções de terceiros. Para ver a lista de integrações com suporte, confira Integrações com suporte.

• Mantenha a segurança de rede, restringindo a conexão por tipos de tráfego, aplicativos e métodos de autenticação. Para ver a lista de recursos de segurança da VPN Always On, confira Recursos de segurança.

• Configure o disparo automático para conexões autenticadas pelo usuário e pelo dispositivo. Para saber mais, confira Recursos de segurança.

• Controle sua rede criando políticas de roteamento em um nível granular, até mesmo para o aplicativo individual. Para obter mais informações, confira Recursos de rede.

• Defina as configurações de VPN com um perfil XML padrão (ProfileXML) que é definido por um modelo de configuração padrão do setor. Você pode implantar e gerenciar as configurações de VPN com o Windows PowerShell, o Microsoft Endpoint Configuration Manager, o Intune, o Designer de Configuração do Windows ou com qualquer ferramenta de MDM (gerenciamento de dispositivo móvel) de terceiros.

Integrações com suporte

O Always On VPN dá suporte a dispositivos ingressados no domínio, não ingressados no domínio (grupo de trabalho) ou ingressados no Microsoft Entra ID para permitir cenários corporativos e BYOD. A VPN Always On está disponível em todas as edições do Windows e os recursos da plataforma estão disponíveis para terceiros por meio do suporte ao plug-in da VPN UWP.

A VPN Always On dá suporte à integração às seguintes plataformas:

• WIP (Proteção de Informações do Windows). A integração à WIP permite a imposição da política de rede para determinar se o tráfego tem permissão para passar pela VPN. Se o perfil do usuário estiver ativo e as políticas WIP forem aplicadas, a VPN Always On será disparada automaticamente para se conectar. Além disso, quando você usa a WIP, não é necessário especificar as regras AppTriggerList e TrafficFilterList separadamente no perfil da VPN (a menos que você queira ter uma configuração mais avançada), porque as políticas da WIP e as listas de aplicativos entram em vigor automaticamente.

• Windows Hello para Empresas. A VPN Always On dá suporte nativo ao Windows Hello para Empresas no modo de autenticação baseada em certificado. O suporte nativo do Windows Hello fornece uma experiência perfeita de logon único para entrada no computador, bem como a conexão com a VPN. Nenhuma autenticação secundária (credenciais de usuário) é necessária para a conexão com a VPN.

• Plataforma de acesso condicional do Microsoft Azure. O cliente da VPN Always On pode ser integrado à plataforma de acesso condicional do Azure para impor a MFA (autenticação multifator), a conformidade do dispositivo ou uma combinação de ambos. Quando compatível com políticas de acesso condicional, o Microsoft Entra ID emite um certificado de autenticação IPsec (Segurança IP) de curta duração (sessenta minutos por padrão). Em seguida, o certificado IPsec pode ser usado para autenticação no gateway de VPN. A conformidade do dispositivo usa políticas de conformidade do Configuration Manager/Intune, que podem incluir o estado do atestado de integridade do dispositivo como parte da verificação de conformidade da conexão. Para obter mais detalhes, confira VPN e acesso condicional

• Plataforma de autenticação multifatorial Microsoft Entra. Quando combinada com os serviços RADIUS e a extensão NPS para autenticação multifatorial do Microsoft Entra, a autenticação VPN pode usar MFA forte.

• Plug-ins de VPN de terceiros. Com a UWP (Plataforma Universal do Windows), os provedores de VPN de terceiros podem criar um aplicativo unificado para a gama completa de dispositivos Windows. A UWP fornece uma camada de API principal garantida entre dispositivos, eliminando a complexidade dos problemas e geralmente associados à gravação de drivers no nível do kernel. Atualmente, há plug-ins de VPN da UWP do Windows para o Pulse Secure, o F5 Access, o Check Point Capsule VPN, o FortiClient, o SonicWall Mobile Connect e o GlobalProtect.

Recursos de segurança

A VPN Always On fornece conectividade com recursos corporativos usando políticas de túnel que exigem autenticação e criptografia até chegarem ao gateway da VPN. Por padrão, as sessões de túnel terminam no gateway da VPN, que também funciona como o gateway IKEv2, fornecendo segurança de ponta a ponta.

Para ver detalhes sobre as opções padrão de autenticação da VPN, confira Opções de autenticação da VPN.

A VPN Always On dá suporte aos seguintes recursos de segurança:

• Suporte ao protocolo VPN IKEv2 padrão do setor. O cliente VPN Always On dá suporte ao IKEv2, um dos protocolos de túnel padrão do setor mais usados atualmente. Essa compatibilidade maximiza a interoperabilidade com gateways de VPN de terceiros.

• Interoperabilidade com gateways de VPN IKEv2 de terceiros. O cliente da VPN Always On dá suporte à interoperabilidade com gateways de VPN IKEv2 de terceiros. Você também pode obter interoperabilidade com gateways de VPN de terceiros usando um plug-in de VPN UWP combinado a um tipo de túnel personalizado sem sacrificar recursos e benefícios da plataforma da VPN Always On.

  Observação

  Confira seu gateway ou fornecedor de dispositivo de back-end de terceiros sobre configurações e compatibilidade com a VPN Always On e o Túnel de Dispositivo usando IKEv2.

• Fallback para o SSTP do IKEv2. Você pode configurar o fallback para os clientes que estão protegidos por firewalls ou servidores proxy usando o tipo de túnel/protocolo automático no perfil da VPN.

  Observação

  O túnel do usuário dá suporte ao SSTP e ao IKEv2, e o túnel do dispositivo só dá suporte ao IKEv2, sem suporte para o fallback do SSTP.

• Suporte para autenticação de certificado de computador. O tipo de protocolo IKEv2 disponível como parte da plataforma da VPN Always On dá suporte especificamente ao uso de certificados de computador ou máquina para autenticação da VPN.

  Observação

  IKEv2 é o único protocolo com suporte para o Túnel do dispositivo e não há nenhuma opção de suporte para fallback SSTP. Para obter informações, confira Configurar um túnel de dispositivo da VPN Always On.

• Filtros de tráfego e de aplicativo. Com as regras de tráfego e de firewall do aplicativo, você pode especificar políticas do lado do cliente que determinam o tráfego e os aplicativos que têm permissão para se conectar à interface da VPN.

  Há dois tipos de regras de filtragem disponíveis:

  • Regras baseadas em aplicativo. As regras de firewall baseadas em aplicativo são baseadas em uma lista de aplicativos especificados para que somente o tráfego proveniente desses aplicativos possa passar pela interface da VPN.

  • Regras baseadas em tráfego. As regras de firewall baseadas em tráfego são baseadas em requisitos de rede, como portas, endereços e protocolos. Use essas regras somente para tráfego que corresponda a essas condições específicas e que tenha permissão para passar pela interface VPN.

  Observação

  Essas regras se aplicam apenas ao tráfego de saída do dispositivo. O uso de filtros de tráfego bloqueia o tráfego de entrada da rede corporativa para o cliente.

• Acesso condicional de VPN. O acesso condicional e a conformidade do dispositivo podem exigir que os dispositivos gerenciados atendam aos padrões antes de conectarem à VPN. O acesso condicional VPN permite restringir as conexões VPN aos dispositivos cujo certificado de autenticação de cliente contém o OID de Acesso Condicional do Microsoft Entra 1.3.6.1.4.1.311.87. Para saber como restringir as conexões VPN diretamente no servidor NPS, confira Configurar o acesso condicional de VPN no Servidor de Política de Rede. Para saber como restringir as conexões de VPN com o Acesso Condicional do Microsoft Entra, consulte Acesso condicional para conectividade de VPN usando o Microsoft Entra ID.

• Limite o acesso remoto a usuários e dispositivos específicos. Você pode configurar a VPN Always On para dar suporte à autorização granular ao usar RADIUS, que inclui o uso de grupos de segurança para controlar o acesso à VPN.

• Defina servidores de gerenciamento acessíveis antes da entrada do usuário. Use o recurso Túnel do Dispositivo (disponível na versão 1709, somente para o IKEv2) no perfil da VPN combinado com filtros de tráfego para controlar os sistemas de gerenciamento na rede corporativa que ficam acessíveis por meio do Túnel do Dispositivo.

  Observação

  Se você ligar filtros de tráfego no perfil Túnel do dispositivo, ele negará o tráfego de entrada (da rede corporativa para o cliente).

• VPN por aplicativo. A VPN por aplicativo é como ter um filtro de tráfego baseado em aplicativo, mas ela vai mais longe para combinar gatilhos de aplicativo com um filtro de tráfego baseado em aplicativo para que a conectividade VPN seja restrita a um aplicativo específico, em vez de todos os aplicativos no cliente VPN. O recurso é iniciado automaticamente quando o aplicativo é iniciado.

• Algoritmos de criptografia IPsec personalizados. A VPN Always On dá suporte ao uso de algoritmos criptográficos personalizados baseados em criptografia de curva elíptica RSA para atender a políticas de segurança governamentais ou organizacionais rigorosas.

• Suporte ao EAP (Native Extensible Authentication Protocol). A VPN Always On dá suporte nativo ao EAP, o que permite que você use um conjunto diversificado de tipos EAP da Microsoft e de terceiros como parte do fluxo de trabalho de autenticação. O EAP fornece autenticação segura com base nos seguintes tipos de autenticação:

  • Nome de usuário e senha
  • Cartão inteligente (físico e virtual)
  • Certificados do usuário
  • Windows Hello for Business
  • Suporte à MFA por meio da integração radius do EAP

  O fornecedor do aplicativo controla métodos de autenticação de plug-in de VPN UWP de terceiros, embora eles tenham uma gama de opções disponíveis, incluindo tipos de credenciais personalizadas e suporte a OTP.

• Autenticação de dois fatores do Windows Hello para Empresas em computadores e dispositivos móveis. No Windows 10, o Windows Hello para Empresas substitui senhas fornecendo autenticação forte de dois fatores em PCs e dispositivos móveis. Para mais informações, confira Habilitar o acesso remoto com Windows Hello para Empresas no Windows 10

• MFA (Autenticação Multifator do Azure). A autenticação multifator do Microsoft Entra tem versões na estrutura local e na nuvem que você pode integrar ao mecanismo de autenticação VPN do Windows. Para mais informações, consulte Integrar a autenticação RADIUS com o Servidor de Autenticação Multifator do Azure.

• Atestado de Chave do TPM (Trusted Platform Module). Um certificado de usuário que tem uma chave atestada por TPM fornece maior garantia de segurança, com suporte de não exportabilidade, anti-hammering e isolamento das chaves fornecidas pelo TPM.

Para obter mais informações sobre o atestado de chave do TPM no Windows 10, consulte Atestado de chave do TPM.

Recursos de conectividade

A VPN Always On dá suporte aos seguintes recursos de conectividade:

• Disparo automático de aplicativo. Você pode configurar a VPN Always On para dar suporte ao disparo automático com base na inicialização de aplicativos ou solicitações de resolução de namespace. Para obter mais informações sobre como configurar o disparo automático, confira Opções de perfil disparadas automaticamente pela VPN.

• Disparo automático baseado em nome. Com a VPN Always On, você pode definir regras para que consultas de nome de domínio específicas disparem a conexão da VPN. Os dispositivos Windows dão suporte a gatilhos baseados em nome para computadores conectados ao domínio e não ingressados no domínio (anteriormente, havia suporte apenas para computadores não ingressados no domínio).

• Detecção de rede confiável. A VPN Always On inclui esse recurso para garantir que a conectividade VPN não seja disparada se um usuário estiver conectado a uma rede confiável dentro do limite corporativo. Você pode combinar esse recurso a qualquer um dos métodos de gatilho mencionados anteriormente para proporcionar uma experiência de usuário de "conectar apenas quando necessário".

• Túnel do Dispositivo. A VPN Always On oferece a capacidade de criar um perfil de VPN dedicado para dispositivo ou computador. Ao contrário do Túnel do Usuário, que se conecta somente depois que um usuário faz logon no dispositivo ou no computador, o Túnel do Dispositivo permite que a VPN estabeleça conectividade antes da entrada do usuário. O túnel do dispositivo e o túnel do usuário operam de maneira independente com seus perfis VPN, podem estar conectados ao mesmo tempo e podem usar métodos de autenticação diferentes e outras definições de configuração de VPN conforme apropriado. Para obter informações sobre como configurar um túnel de dispositivo, incluindo informações sobre como usar o gerenciamento remoto para registrar dinamicamente endereços IP do cliente no DNS, confira Configurar um túnel de dispositivo da VPN Always On.

  Observação

  O Túnel do dispositivo só pode ser configurado em dispositivos ingressados no domínio que executam Windows 10 Enterprise ou Education versão 1709 ou posterior. Não há suporte para o controle de terceiros do Túnel do Dispositivo.

• Assistente de Conectividade: a VPN Always On é totalmente integrada ao Assistente de Conectividade de Rede nativo e fornece o status de conectividade na interface Exibir Todas as Redes. Com o advento da Atualização do Windows 10 para Criadores (versão 1703), o status e o controle de conexão VPN para o Túnel do Usuário estão disponíveis por meio do submenu Rede (do cliente VPN interno do Windows).

Recursos de rede

A VPN Always On dá suporte aos seguintes recursos de rede:

• Suporte de pilha dupla para IPv4 e IPv6. A VPN Always On dá suporte nativo ao uso de IPv4 e IPv6 em uma abordagem de pilha dupla. Ela não tem nenhuma dependência específica de um protocolo em vez de outro, o que permite a compatibilidade do aplicativo IPv4/IPv6 máxima combinada ao suporte para necessidades futuras de rede IPv6.

• Políticas de roteamento específicas do aplicativo. Além de definir políticas globais de roteamento de conexão VPN para separação de tráfego da Internet e da intranet, é possível adicionar políticas de roteamento para controlar o uso de configurações de túnel dividido ou de túnel forçado por aplicativo. Essa opção oferece um controle mais granular sobre quais aplicativos têm permissão para interagir com quais recursos por meio do túnel VPN.

• Rotas de exclusão. A VPN Always On dá suporte à capacidade de especificar rotas de exclusão que controlam especificamente o comportamento de roteamento para definir qual tráfego deve percorrer apenas a VPN e não passar pelo adaptador de rede física.

  Observação

  As rotas de exclusão funcionam para o tráfego na mesma sub-rede do cliente, como LinkLocal. As rotas de exclusão só funcionam em uma configuração de Túnel Dividido.

• Suporte para vários domínios e florestas. A plataforma da VPN Always On não tem dependência de florestas ou topologia de domínio (ou níveis funcionais/de esquema associados) dos Active Directory Domain Services (AD DS) porque não necessita que o cliente da VPN seja ingressado no domínio para funcionar. A Política de Grupo, portanto, não é uma dependência para definir as configurações de perfil da VPN porque você não a usa durante a configuração do cliente. Quando é necessária a integração de autorização do Active Directory, você pode obtê-la por meio do RADIUS como parte do processo de autenticação e autorização do EAP.

• Resolução de nomes de recursos corporativos usando o nome curto, o FQDN (nome de domínio totalmente qualificado) e o sufixo DNS. A VPN Always On pode definir nativamente um ou mais sufixos DNS como parte do processo de conexão VPN e da atribuição de endereço IP, incluindo resolução de nomes de recursos corporativos para nomes curtos, FQDNs ou namespaces DNS inteiros. A VPN Always On também dá suporte ao uso de Tabelas de Políticas de Resolução de Nomes para fornecer granularidade de resolução específica do namespace.

  Observação

  Evite o uso de sufixos globais, pois eles interferem na resolução de nome curto ao usar tabelas de Políticas de Resolução de Nomes.

Recursos de alta disponibilidade

Veja a seguir mais opções para alta disponibilidade.

Resiliência do servidor e balanceamento de carga. Em ambientes que exigem alta disponibilidade ou dão suporte a um grande número de solicitações, você pode aumentar o desempenho e a resiliência do Acesso Remoto configurando o balanceamento de carga entre os NPS (Servidores de Política de Rede) e habilitando o servidor de Acesso Remoto clustering.

Resiliência de site geográfico. Para geolocalização baseada em IP, você pode usar o Gerenciador de Tráfego Global com DNS no Windows Server. Para um balanceamento de carga geográfica mais robusto, você pode usar soluções de Balanceamento de Carga de Servidor Global, como o Gerenciador de Tráfego do Microsoft Azure.

Próximas etapas

• Instalar o Acesso Remoto como um servidor VPN

• Tutorial: implantar a VPN do Always On

• Recursos de segurança de VPN: este tópico fornece uma visão geral das diretrizes de segurança de VPN para Bloqueio de VPN, integração da WIP (Proteção de Informações do Windows) com VPN e filtros de tráfego.

• Opções de perfil disparadas automaticamente da VPN: este tópico fornece uma visão geral das opções de perfil disparadas automaticamente da VPN, como gatilho de aplicativo, gatilho baseado em nome e Always On.

• Solucionar problemas da VPN Always On