VPN siempre activa antes del inicio de sesión de Windows (formalmente servicio Always On)
La función AlwaysOn VPN antes de iniciar sesión en Windows (formalmente servicio AlwaysOn) permite al usuario establecer un túnel VPN a nivel de máquina incluso antes de que un usuario inicie sesión en un sistema Windows. El túnel permanece activo hasta que la máquina se apaga. Una vez que el usuario inicia sesión, el túnel de VPN de nivel de máquina se hace cargo de un túnel de VPN de nivel de usuario. Después de que el usuario cierra sesión, el túnel a nivel de usuario se rompe y se establece un túnel a nivel de máquina. Always On VPN antes de iniciar sesión en Windows se puede configurar únicamente mediante directivas de autenticación avanzadas. Para obtener más información, consulte Configurar una VPN siempre activa antes del inicio de sesión de Windows.
Funciones de Always On VPN antes de iniciar sesión en Windows
- El administrador puede proporcionar una contraseña de un solo uso a los usuarios que trabajan por primera vez de forma remota con la que los usuarios pueden conectarse al controlador de dominio para cambiar su contraseña.
- El administrador puede administrar/aplicar de forma remota las directivas de AD en el dispositivo incluso antes de que el usuario inicie sesión.
- El administrador puede proporcionar un nivel granular de control a los usuarios en función del grupo de usuarios después de que el usuario inicie sesión. Por ejemplo, mediante un túnel de nivel de usuario, puede restringir o proporcionar acceso a un recurso a un grupo de usuarios concreto.
- El túnel de usuario se puede configurar para MFA según los requisitos del usuario.
- Varios usuarios pueden utilizar la misma máquina. El acceso a recursos selectivos se proporciona en función del perfil de usuario. Por ejemplo, varios usuarios pueden utilizar una máquina en un quiosco sin problemas.
- Los usuarios que trabajan de forma remota se conectan al controlador de dominio para cambiar su contraseña.
- La máquina Windows puede verificar la credencial de inicio de sesión del usuario mediante el directorio activo corporativo (AD) y las credenciales de Windows en la máquina no se almacenan en caché. Además, los nuevos usuarios corporativos de AD pueden iniciar sesión sin problemas en el equipo.
- La máquina Windows pasa a formar parte de la intranet corporativa incluso antes de que los usuarios inicien sesión, lo que permite a los administradores de TI acceder al equipo cliente desde la red corporativa con fines de depuración.
- El túnel VPN para una máquina Windows permanece conectado incluso cuando diferentes usuarios inician o citan sesión en el equipo.
Descripción de Always On VPN antes del inicio de sesión de Windows
A continuación se muestra el flujo de eventos de la funcionalidad Always On VPN antes de iniciar sesión en Windows .
- El usuario enciende el equipo portátil. El túnel a nivel de máquina se establece hacia NetScaler Gateway mediante el certificado del dispositivo como identidad.
- El usuario inicia sesión en el portátil con las credenciales de AD.
- Después del inicio de sesión, el usuario se enfrenta al desafío de MFA.
- Si la autenticación se realiza correctamente, el túnel de nivel de máquina se sustituye por el túnel de nivel de usuario.
- Una vez que el usuario cierra la sesión, el túnel de nivel de usuario se sustituye por el túnel de nivel de máquina.
Puntos a tener en cuenta:
- El complemento VPN y NetScaler Gateway deben ser de la versión 13.0.41.20 y posteriores.
- Si un equipo cliente no tiene conectividad a Internet, Always On VPN antes de iniciar sesión en Windows espera a que la conectividad a Internet esté disponible antes de establecer el túnel VPN.
- Si un equipo cliente está conectado a una red de portal cautivo, Always On VPN antes de iniciar sesión en Windows espera a que el usuario se autentique en el portal cautivo. Una vez que el usuario inicia sesión y se habilita el acceso a Internet, Always On VPN antes de iniciar sesión en Windows establece el túnel VPN.
- La función Always On VPN antes del inicio de sesión de Windows admite portales cautivos para NetScaler ADC.
- Si la opción de credenciales de inicio de sesión almacenadas en caché no está habilitada para Windows, los usuarios no podrán iniciar sesión en los siguientes casos:
- La máquina no tiene conectividad a Internet
- El equipo está conectado a una red de portal cautivo
- Los administradores deben comprobar el estado de revocación del certificado del dispositivo antes de presentar la página de inicio de sesión a los usuarios finales.
Pantalla del administrador de credenciales de Windows después de la configuración de Always On VPN antes de iniciar sesión en Windows
Después de configurar la función Always On VPN before Windows Logon, la pantalla del administrador de credenciales de Windows se modifica de la siguiente manera.
Al hacer clic en Opciones de inicio de sesión en la pantalla de inicio de sesión, aparece la siguiente información:
- El icono de NetScaler Gateway indica si la máquina está conectada a NetScaler Gateway o no.
- Según el modo de configuración del usuario, se muestra una de las instrucciones siguientes en la pantalla de inicio de sesión.
- NetScaler Gateway está conectado en modo de servicio
- NetScaler Gateway está conectado en modo usuario