Quelle est la différence entre DirectAccess et Always On VPN?
On décembre 17, 2021 by admin
DirectAccess existe depuis de nombreuses années, et avec Microsoft qui se dirige maintenant vers Always On VPN, on me demande souvent « Quelle est la différence entre DirectAccess et Always On VPN ? » Fondamentalement, ils fournissent tous deux un accès à distance transparent et transparent, toujours disponible. Cependant, Always On VPN présente un certain nombre d’avantages par rapport à DirectAccess en termes de sécurité, d’authentification et de gestion, de performances et de supportabilité.
Sécurité
DirectAccess fournit une connectivité réseau complète lorsqu’un client est connecté à distance. Il ne dispose d’aucune fonctionnalité native permettant de contrôler l’accès sur une base granulaire. Il est possible de restreindre l’accès aux ressources internes en plaçant un pare-feu entre le serveur DirectAccess et le réseau local, mais la politique s’appliquerait à tous les clients connectés.
Windows 10 Always On VPN inclut la prise en charge du filtrage granulaire du trafic. Alors que DirectAccess donne accès à toutes les ressources internes lorsqu’il est connecté, Always On VPN permet aux administrateurs de restreindre l’accès des clients aux ressources internes de diverses manières. En outre, les politiques de filtrage du trafic peuvent être appliquées sur une base par utilisateur ou par groupe. Par exemple, les utilisateurs de la comptabilité peuvent être autorisés à accéder uniquement aux serveurs de leur département. La même chose pourrait être faite pour les RH, les finances, l’informatique, et autres.
Authentification et gestion
DirectAccess comprend la prise en charge de l’authentification forte des utilisateurs avec des cartes à puce et des solutions de mot de passe à usage unique (OTP). Toutefois, il n’est pas prévu d’accorder l’accès en fonction de la configuration ou de la santé du périphérique, car cette fonctionnalité a été supprimée dans Windows Server 2016 et Windows 10. En outre, DirectAccess nécessite que les clients et les serveurs soient joints à un domaine, car tous les paramètres de configuration sont gérés à l’aide de la stratégie de groupe Active Directory.
Windows 10 Always On VPN inclut la prise en charge de l’authentification et de la gestion modernes, ce qui entraîne une meilleure sécurité globale. Les clients Always On VPN peuvent être joints à un Azure Active Directory et l’accès conditionnel peut également être activé. La prise en charge de l’authentification moderne à l’aide d’Azure MFA et de Windows Hello for Business est également assurée. Always On VPN est géré à l’aide de solutions de gestion des appareils mobiles (MDM) telles que Microsoft Intune.
Performance
DirectAccess utilise IPsec avec IPv6, qui doit être encapsulé dans TLS pour être acheminé sur l’Internet public IPv4. Le trafic IPv6 est ensuite traduit en IPv4 sur le serveur DirectAccess. Les performances de DirectAccess sont souvent acceptables lorsque les clients disposent de connexions Internet fiables et de haute qualité. Cependant, si la qualité de la connexion est moyenne ou mauvaise, la surcharge de protocole élevée de DirectAccess avec ses multiples couches d’encapsulation et de traduction donne souvent des performances médiocres.
Le protocole de choix pour les déploiements VPN Always On de Windows 10 est IKEv2. Il offre la meilleure sécurité et les meilleures performances par rapport aux protocoles basés sur TLS. En outre, Always On VPN ne s’appuie pas exclusivement sur IPv6 comme le fait DirectAccess. Cela réduit les nombreuses couches d’encapsulation et élimine le besoin de technologies complexes de transition et de traduction IPv6, ce qui améliore encore les performances par rapport à DirectAccess.
Supportability
DirectAccess est une solution propriétaire de Microsoft qui doit être déployée à l’aide de Windows Server et d’Active Directory. Elle nécessite également un serveur de localisation réseau (NLS) pour que les clients puissent déterminer s’ils se trouvent à l’intérieur ou à l’extérieur du réseau. La disponibilité du NLS est cruciale et s’assurer qu’il est toujours joignable par les clients internes peut poser des défis, en particulier dans les très grandes organisations.
L’infrastructure de support du VPN Always On de Windows 10 est beaucoup moins complexe que DirectAccess. Il n’y a pas besoin d’un NLS, ce qui signifie moins de serveurs à provisionner, à gérer et à surveiller. En outre, Always On VPN est complètement indépendant de l’infrastructure et peut être déployé en utilisant des serveurs VPN tiers tels que Cisco, Checkpoint, SonicWALL, Palo Alto, et plus encore.
Sommaire
Windows 10 Always On VPN est la voie de l’avenir. Il offre une meilleure sécurité globale que DirectAccess, il est plus performant et il est plus facile à gérer et à soutenir.
Voici un résumé rapide de certains aspects importants du VPN, de DirectAccess et de Windows 10 Always On VPN.
| VPN traditionnel | DirectAccess | Always On VPN | ||
| Sans faille et transparent | Non | Oui | Oui | |
| Options de connexion automatique | Aucune | Toujours activé | Toujours activé, l’application est déclenchée | |
| Protocole pris en charge | IPv4 et IPv6 | IPv6 uniquement | IPv4 et IPv6 | . et IPv6 |
| Filtrage du trafic | Non | Non | Oui | |
| Intégration d’Azure AD | Non | Non | Oui | |
| Gestion moderne | Oui | Non (stratégie de groupe uniquement) | Oui (MDM) | |
| Les clients doivent être liés à un domaine.joints ? | Non | Oui | Non | |
| Requiert une infrastructure Microsoft | Non | Oui | Non | |
| Support de Windows 7 | Oui | Oui | Windows 10 uniquement |
Toujours sur VPN Hands-.On Training
Si vous souhaitez en savoir plus sur Windows 10 Always On VPN, envisagez de vous inscrire à l’une de mes classes de formation pratique. Plus de détails ici.
Laisser un commentaire