Настройка Always On VPN в Windows 10 с использованием Microsoft Intune

Опубликовано: 14 Марта, 2023
Настройка Always On VPN в Windows 10 с использованием Microsoft Intune

На протяжении многих лет мне часто приходилось использовать различные решения для виртуальных частных сетей (VPN), поскольку я работал над разработкой документации, технических документов, курсов и других технических материалов для деловых партнеров и крупных поставщиков, таких как Microsoft. Однако развертывание и настройка таких решений часто были головной болью. DirectAccess, технология Microsoft, представленная в Windows Server 2008 R2 и Windows 7, обещала обеспечить бесперебойную связь между удаленными клиентами и корпоративными сетями без необходимости развертывания и использования VPN-соединений. Хотя это обещание было фактически реализовано с помощью этой технологии, ее внедрение и управление часто были сложными для многих администраторов.

Однако с Windows 10 маятник качнулся в противоположную сторону, представив новое решение для удаленного подключения под названием Always On VPN. Я сам использовал это решение, и лично я предпочитаю его использованию DirectAccess, и чтобы помочь нашим читателям лучше понять, как его развертывать и настраивать, я взял интервью у своего коллеги Ричарда Хикса, попросив его освежить наше понимание этой технологии и рассказать нам, как развернуть и настроить его. Ричард является основателем и главным консультантом Richard M. Hicks Consulting и занимается оказанием помощи организациям во внедрении решений для обеспечения безопасности границ, удаленного доступа и PKI на платформах Microsoft и сторонних производителей. Он является самым ценным профессионалом Microsoft в категориях «Облако и центр обработки данных» и «Безопасность предприятия». Его можно найти в Твиттере здесь. Ричард ранее предоставил нам краткий обзор Always On VPN в этой статье TechGenix, но сегодня он собирается более подробно рассказать о технических деталях его настройки с помощью Microsoft Intune.

МИТЧ: Ричард, начните с того, что расскажите нам, почему Always On VPN может иметь смысл для многих организаций, которые ищут улучшенное решение для удаленного подключения.

РИЧАРД: Ну, в течение многих лет DirectAccess был предпочтительным решением для удаленного доступа для корпоративных организаций во всем мире. Он обеспечивает бесперебойную, прозрачную и постоянную связь для мобильных пользователей, позволяя им работать продуктивно в любом месте. Постоянный доступ к сети также позволяет администраторам лучше управлять своими преимущественно полевыми устройствами. Но DirectAccess сильно зависит от Active Directory и групповой политики и требует, чтобы клиенты и серверы DirectAccess были присоединены к домену. А по мере того, как организации переносят приложения, данные и даже инфраструктуру в облако, потребуется мобильное решение, поддерживающее интеграцию с облаком и современное управление.

Чтобы устранить недостатки DirectAccess, Microsoft представила Always On VPN для Windows 10. Он обеспечивает тот же пользовательский интерфейс, что и DirectAccess, но включает необходимую поддержку облачных служб, таких как Azure Active Directory. С помощью Always On VPN администраторы могут расширить возможности, подобные DirectAccess, на свои устройства с Windows 10 Professional. Always On VPN поддерживает расширенные функции, не включенные в DirectAccess, такие как фильтрация трафика, присоединение к Azure Active Directory, условный доступ и интеграция с Windows Information Protection (WIP) и Windows Hello для бизнеса.

МИТЧ: Всегда ли ON VPN реализован и управляется так же, как DirectAccess?

РИЧАРД: Always On VPN реализуется и управляется принципиально иначе, чем DirectAccess. Для этого требуется локальная служба Active Directory, а клиенты должны быть присоединены к домену. Там, где DirectAccess использовал групповую политику для распространения параметров конфигурации, Always On VPN предназначен для использования платформы управления мобильными устройствами (MDM), такой как Microsoft Intune. Используя Intune, администраторы могут создавать и развертывать профили VPN, которые распространяются на устройства Windows 10, где бы они ни находились.

МИТЧ: Хорошо, давайте теперь перейдем от закуски к основному блюду. Прежде чем показать нам, как развернуть Always On VPN с помощью Intune, сообщите нам, есть ли какие-либо необходимые предварительные шаги.

РИЧАРД. Прежде чем вы начнете, руководство по подготовке профиля Always On VPN с помощью Intune предполагает, что компьютеры с Windows 10 управляются с помощью Intune и что все необходимые сертификаты были предоставлены клиенту. Руководство по подготовке сертификатов с помощью Intune можно найти здесь.

МИТЧ: Спасибо. Итак, я предполагаю, что первым шагом сейчас является создание профиля для ваших новых подключений Always On VPN, верно? Пожалуйста, покажите нам, как это сделать, шаг за шагом.

РИЧАРД: Верно. Чтобы развернуть профиль Windows 10 Always On VPN с помощью Intune, откройте консоль управления Intune и выполните следующие действия:

  1. Щелкните Конфигурация устройства.
  2. Щелкните Профили.
  3. Щелкните Создать профиль.
  1. Введите имя профиля в поле Имя.
  2. Выберите Windows 10 и более позднюю версию в раскрывающемся списке «Платформа».
  3. Выберите VPN из раскрывающегося списка Тип профиля.
  4. Щелкните Базовая VPN.
  5. Введите имя в поле Имя соединения.
  6. Введите описание и IP-адрес или полное доменное имя VPN-сервера в поля Описание и IP-адрес или полное доменное имя соответственно.
  7. Нажмите True для сервера по умолчанию, а затем нажмите Добавить.
  8. Выберите «Включить» или «Отключить», чтобы зарегистрировать IP-адреса во внутреннем DNS.
  9. Выберите «Автоматически» в раскрывающемся списке «Тип подключения».
  10. Выберите «Включить», чтобы настроить VPN-подключение на «Всегда включено».
  11. Выберите Включить, чтобы запоминать учетные данные при каждом входе в систему.
  12. Выберите сертификат аутентификации.
  13. Вставьте XML-файл EAP, экспортированный из подключения рабочего шаблона, в поле XML-файла EAP.
  14. Нажмите «ОК».
  1. Щелкните Настройки DNS.
  2. Введите DNS-суффикс, используемый во внутренней сети, в поле DNS-суффиксы.
  3. Щелкните Добавить.
  4. Нажмите «ОК».

  1. Щелкните Раздельное туннелирование (необязательно).
  2. Щелкните Включить для раздельного туннелирования.
  3. Введите сетевой адрес(а), соответствующий внутренней сети, в поля Префикс назначения и Размер префикса.
  4. Нажмите «ОК».
  1. Щелкните Обнаружение доверенной сети (необязательно).
  2. Введите DNS-суффикс, связанный с внутренней сетью.
  3. Щелкните Добавить.
  1. Дважды нажмите «ОК», а затем нажмите «Создать», чтобы создать профиль Always On VPN.

Готово!

МИТЧ: Это здорово, даже такой идиот, как я, может это понять! Хорошо, теперь покажите нам, как развернуть профиль Always On VPN с помощью Intune.

РИЧАРД: Это просто. После создания профиля Always On VPN выполните следующие действия, чтобы назначить профиль клиентским устройствам:

  1. Щелкните Задания.
  2. Выберите «Выбранные группы» в раскрывающемся списке «Назначить».
  3. Щелкните Выбрать группы для включения.
  4. Щелкните соответствующую целевую группу.
  5. Щелкните Выбрать.
  6. Щелкните Сохранить.

МИТЧ: Существуют ли какие-либо дополнительные параметры, которые можно использовать для настройки Always On VPN с помощью Intune?

РИЧАРД: Для Always On VPN доступно множество расширенных опций. Следующие параметры также можно включить с помощью Intune:

  • Защита информации Windows (WIP).
  • Правила сетевого трафика.
  • Условный доступ.
  • Единый вход (SSO).
  • Настройка прокси-сервера.

МИТЧ: Большое спасибо! Итак, в будущем должны ли организации, использующие DirectAccess, заменить его на Always On VPN?

РИЧАРД: Что ж, Microsoft больше не инвестирует в DirectAccess, и с момента появления Windows Server 2012 не было представлено никаких новых функций. Однако официально DirectAccess не объявлен устаревшим и будет полностью поддерживаться на протяжении всего срока службы Windows Server 2019. Always On Очевидно, что VPN — это путь будущего, и Microsoft делает в него свои инвестиции.

Но выбор DirectAccess или Always On VPN зависит от многих факторов. Если ваша организация нуждается в расширенных функциях безопасности и современной поддержке управления, Always On VPN — лучшее решение. Если ваша организация по-прежнему использует локальную службу Active Directory и управление групповыми политиками с клиентами выпуска Windows 10 Enterprise, DirectAccess все равно можно развернуть, если он соответствует вашим потребностям.

И DirectAccess существует уже довольно давно, но начинает показывать свой возраст. Windows 10 Always On VPN легко интегрируется с Microsoft Azure и поддерживает множество дополнительных функций, недоступных в DirectAccess. Always On VPN использует современное управление с помощью Intune и работает со всеми SKU Windows 10, включая Professional Edition.

МИТЧ: Спасибо, Ричард. Можем ли мы закончить тем, что вы укажете нам на некоторые дополнительные ресурсы, где наши читатели могут узнать больше о Always On VPN?

РИЧАРД: Конечно, посмотрите эти ссылки:

Обзор Windows 10 Always On VPN

Разверните Windows 10 Always On VPN

Условный доступ Always On VPN с Azure Active Directory

Сравнение DirectAccess и Always On VPN

МИТЧ: Спасибо!

РИЧАРД: Не за что!

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Рейтинг лучших процессоров Intel Xeon для игр и домашних сборок
21 Февраля, 2026
Что такое proxy IPv4: как работает, виды, отличия от IPv6 и как выбрать под задачи
14 Июня, 2023
Что такое оптический патч-корд: виды, разъёмы, полировка, параметры и правила выбора
11 Мая, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023