VPN Always On avant l’ouverture de session Windows (anciennement service Always On)
La fonctionnalité VPN AlwaysOn avant l’ouverture de session Windows (anciennement service AlwaysOn) permet à un utilisateur d’établir un tunnel VPN au niveau de la machine avant même qu’un utilisateur ne se connecte à un système Windows. Le tunnel reste actif jusqu’à l’arrêt de la machine. Une fois que l’utilisateur s’est connecté, le tunnel VPN au niveau de la machine est pris en charge par un tunnel VPN au niveau de l’utilisateur. Une fois que l’utilisateur se déconnecte, le tunnel de niveau utilisateur est déchiré et un tunnel au niveau de la machine est établi. Le VPN Always On avant l’ouverture de session Windows peut être configuré à l’aide de stratégies d’authentification avancées uniquement. Pour plus d’informations, consultez Configurer le VPN Always On avant l’ouverture de session Windows.
Capacités d’ouverture de session Always On VPN avant Windows
- L’administrateur peut fournir un mot de passe à usage unique aux utilisateurs qui travaillent pour la première fois à distance, à l’aide duquel les utilisateurs peuvent se connecter au contrôleur de domaine pour modifier leur mot de passe.
- L’administrateur peut gérer/appliquer à distance les stratégies AD sur l’appareil avant même que l’utilisateur ne se connecte.
- L’administrateur peut fournir un niveau de contrôle granulaire aux utilisateurs en fonction du groupe d’utilisateurs après la connexion de l’utilisateur. Par exemple, à l’aide d’un tunnel de niveau utilisateur, vous pouvez restreindre ou accorder l’accès à une ressource à un groupe d’utilisateurs particulier.
- Le tunnel utilisateur peut être configuré pour MFA en fonction des besoins de l’utilisateur.
- Plusieurs utilisateurs peuvent utiliser la même machine. L’accès à des ressources sélectives est fourni en fonction du profil utilisateur. Par exemple, plusieurs utilisateurs peuvent utiliser une machine dans un kiosque sans problème.
- Les utilisateurs travaillant à distance se connectent au contrôleur de domaine pour modifier leur mot de passe.
- L’ordinateur Windows peut vérifier les informations d’identification de connexion de l’utilisateur à l’aide de l’annuaire Active Directory d’entreprise (AD) et les informations d’identification Windows sur la machine ne sont pas mises en cache. De plus, les nouveaux utilisateurs AD d’entreprise peuvent se connecter facilement à la machine.
- La machine Windows fait partie de l’intranet de l’entreprise avant même que les utilisateurs ne se connectent, ce qui permet aux administrateurs informatiques d’accéder à la machine cliente à partir du réseau de l’entreprise à des fins de débogage.
- Le tunnel VPN d’une machine Windows reste connecté même lorsque différents utilisateurs se connectent ou se déconnectent de la machine.
Présentation du VPN Always On avant l’ouverture de session Windows
Voici le flux d’événements pour la fonctionnalité Always On VPN avant l’ouverture de session Windows.
- L’utilisateur allume l’ordinateur portable. Le tunnel au niveau de la machine est établi vers Citrix Gateway en utilisant le certificat d’appareil comme identité.
- L’utilisateur se connecte à l’ordinateur portable à l’aide des informations d’identification AD.
- Après la connexion, l’utilisateur est confronté à un défi avec MFA.
- Une fois l’authentification réussie, le tunnel de niveau machine est remplacé par le tunnel de niveau utilisateur.
- Une fois que l’utilisateur se déconnecte, le tunnel de niveau utilisateur est remplacé par le tunnel au niveau de la machine.
Points à noter :
- Citrix Gateway et le plug-in VPN doivent être à la version 13.0.41.20 et ultérieure.
- Si un ordinateur client n’a pas de connectivité Internet, Always On VPN avant l’ouverture de session Windows attend que la connectivité Internet soit disponible avant d’établir le tunnel VPN.
- Si un ordinateur client est connecté à un réseau de portail captif, Always On VPN avant l’ouverture de session Windows attend que l’utilisateur s’authentifie auprès du portail captif. Une fois que l’utilisateur s’est connecté et que l’accès Internet est activé, Always On VPN avant l’ouverture de session Windows établit le tunnel VPN.
- La fonctionnalité VPN Always On avant l’ouverture de session Windows prend en charge les portails captifs pour Citrix ADC.
- Si l’option des informations d’identification de connexion mises en cache n’est pas activée pour Windows, les utilisateurs ne peuvent pas ouvrir de session dans les scénarios suivants :
- La machine n’a pas de connectivité Internet
- La machine est connectée à un réseau de portails captifs
- Les administrateurs doivent vérifier l’état de révocation du certificat de l’appareil avant de présenter la page de connexion aux utilisateurs finaux.
Écran du gestionnaire d’informations d’identification Windows après le VPN Always On avant la configuration de l’ouverture de session Windows
Une fois que la fonctionnalité VPN toujours actif avant ouverture de session Windows est configurée, l’écran du gestionnaire d’informations d’identification Windows est modifié comme suit.
Lorsque vous cliquez sur Options de connexion sur l’écran d’ouverture de session, les informations suivantes s’affichent :
- L’icône Citrix Gateway indique si la machine est connectée à Citrix Gateway ou non.
- Selon le mode de configuration utilisateur, l’une des instructions suivantes s’affiche sur l’écran d’ouverture de session.
- Citrix Gateway est connecté en mode service
- Citrix Gateway est connecté en mode utilisateur