Options de profil VPN à déclenchement automatique
Windows peut utiliser différentes fonctionnalités pour déclencher automatiquement un VPN, ce qui évite aux utilisateurs de se connecter manuellement lorsque le VPN est nécessaire pour accéder aux ressources nécessaires. Il existe trois types différents de règles à déclenchement automatique :
- Déclencheur d’application
- Déclencheur basé sur le nom
- Toujours actif (AlwaysOn)
Remarque
Les connexions VPN déclenchées automatiquement ne fonctionnent pas si la redirection de dossiers pour AppData est activée. La redirection de dossiers pour AppData doit être désactivée ou le profil VPN déclenché automatiquement doit être déployé dans le contexte SYSTEM, ce qui modifie le chemin d’accès à l’emplacement de stockage du fichier rasphone.pbk .
Déclencheur d’application
Les profils VPN peuvent être configurés pour se connecter automatiquement lors de l’exécution de certaines applications :
- Vous pouvez configurer des applications de bureau ou de plateforme Windows universelle (UWP) pour déclencher une connexion VPN
- Vous pouvez configurer un VPN par application et spécifier des règles de trafic pour chaque application
Remarque
L’identificateur d’application pour une application de bureau correspond à un chemin d’accès. L’identificateur d’application pour une application UWP correspond à un nom de famille de package.
Trouver un nom de famille du package pour la configuration VPN par application
Pour plus d’informations, consultez Filtres de trafic.
Déclencheur basé sur le nom
Vous pouvez configurer une règle basée sur le nom de domaine pour qu’un nom de domaine spécifique déclenche la connexion VPN.
Le déclencheur automatique basé sur le nom peut être configuré à l’aide du VPNv2/<ProfileName>/DomainNameInformationList/dniRowId/AutoTrigger
paramètre dans le fournisseur de services de configuration (CSP) VPNv2.
Il existe quatre types de déclencheurs basés sur le nom :
- Nom court : par exemple, si HRweb est configuré comme déclencheur et que la pile voit une demande de résolution DNS pour HRweb, les déclencheurs VPN
- Nom de domaine complet (FQDN) : par exemple, si HRweb.corp.contoso.com est configuré en tant que déclencheur et que la pile voit une demande de résolution DNS pour HRweb.corp.contoso.com, le VPN déclenche
- Suffixe : par exemple, si .corp.contoso.com est configuré en tant que déclencheur et que la pile voit une demande de résolution DNS avec un suffixe correspondant (par exemple , HRweb.corp.contoso.com), le VPN se déclenche. Pour toute résolution de noms courte, les déclencheurs VPN et les serveurs DNS sont interrogés pour shortName.corp.contoso.com<>
- Tout : si elle est utilisée, toute la résolution DNS déclenche le VPN
Toujours actif (AlwaysOn)
Always On est une fonctionnalité Windows qui permet au profil VPN actif de se connecter automatiquement sur les déclencheurs suivants :
- Connexion de l’utilisateur
- Modification réseau
- Écran de l’appareil activé
Quand le déclencheur se produit, le VPN tente de se connecter. Si une erreur se produit ou si une entrée utilisateur est nécessaire, l’utilisateur voit une notification toast pour plus d’interaction.
Lorsqu’un appareil a plusieurs profils avec des déclencheurs Always On, l’utilisateur peut spécifier le profil actif dans Paramètres > Réseau & profil> VPN ><Internet > en cochant la case Autoriser les applications à utiliser automatiquement cette connexion VPN. Par défaut, le premier profil configuré GPM est marqué comme Actif. Les appareils avec plusieurs utilisateurs ont la même restriction : un seul profil, et donc un seul utilisateur, est en mesure d’utiliser les déclencheurs Always On.
Conservation de la préférence Always On de l’utilisateur
Une autre fonctionnalité windows consiste à conserver la préférence Always On d’un utilisateur. Si un utilisateur désactive manuellement la case Se connecter automatiquement , Windows mémorise la préférence de l’utilisateur pour le nom du profil en ajoutant le nom du profil à la valeur de Registre AutoTriggerDisabledProfilesList.
Si un outil de gestion supprime ou ajoute le même nom de profil et définit AlwaysOn sur true, Windows ne coche pas la case si le nom du profil existe dans la valeur de Registre suivante, afin de conserver la préférence utilisateur.
Clé:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Config
Valeur:AutoTriggerDisabledProfilesList
Type:REG_MULTI_SZ
Détection de réseaux approuvés
La fonctionnalité de détection de réseau approuvé configure le VPN afin que la connexion ne soit pas déclenchée lorsqu’un appareil se trouve sur un réseau approuvé. Pour configurer la détection de réseau approuvé, vous devez fournir une liste de suffixes DNS. La pile VPN vérifie le nom réseau du profil de connexion d’interface physique : s’il correspond à l’un des suffixes configurés dans la liste et que le réseau est privé ou approvisionné par MDM, le VPN ne se déclenche pas.
La détection de réseau approuvé peut être configurée à l’aide du VPNv2/<ProfileName>/TrustedNetworkDetection
paramètre dans le csp VPNv2.
Configurer le VPN déclenché par l’application
Pour la configuration XML, voir Options de profil VPN et Fournisseur de services de configuration (CSP) VPNv2.
L’image suivante montre l’association d’applications à une connexion VPN dans une stratégie de configuration de profil VPN à l’aide de Microsoft Intune.