Always On VPN được triển khai và quản lý rất khác so với DirectAccess. Nó yêu cầu một Active Directory (on-premises) và các máy khách phải được kết nối với domain.
Trong khi DirectAccess sử dụng Group Policy để phân phối cài đặt cấu hình, thì Always On VPN được thiết kế để sử dụng nền tảng Mobile Device Management (MDM) như Microsoft Intune. Sử dụng Intune, quản trị viên có thể tạo và triển khai các profile VPN được phân phối cho mọi thiết bị Windows 10 ở bất cứ nơi nào.
Cách tạo profile Windows 10 Always On VPN bằng Intune
Để tạo profile Windows 10 Always On VPN bằng Intune, hãy mở bảng điều khiển Intune và thực hiện các bước sau:
1. Nhấp vào Device Configuration.
2. Nhấp vào Profiles.
3. Nhấp vào Create Profile.
4. Nhập tên cho profile trong trường Name.
5. Chọn Windows 10 and later từ danh sách drop-down Platform.
6. Chọn VPN từ danh sách drop-down Profile type.
7. Nhấp vào Base VPN.
8. Nhập tên trong trường Connection name.
9. Nhập mô tả và địa chỉ IP hoặc FQDN của máy chủ VPN vào các trường Description và IP address hoặc FQDN tương ứng.
10. Bấm True cho Default server, rồi nhấp vào Add.
11. Chọn Enable hoặc Disable cho Register IP addresses with internal DNS.
12. Chọn Automatic từ danh sách drop-down Connection Type.
13. Chọn Enable để cấu hình kết nối VPN thành Always On.
14. Chọn Enable trong Remember credentials at each logon.
15. Chọn một chứng chỉ xác thực trong Authentication certificate.
16. Dán XML EAP được xuất từ kết nối template đang hoạt động trong trường EAP Xml.
17. Nhấn OK.
18. Nhấp vào DNS Settings.
19. Nhập DNS suffix được sử dụng trên mạng nội bộ trong trường DNS suffixes.
20. Nhấp vào Add.
21. Nhấn OK.
22. Nhấp vào Split Tunneling (tùy chọn).
23. Nhấp vào Enable trong Split tunneling.
24. Nhập (các) địa chỉ mạng tương ứng với mạng nội bộ trong trường Destination prefix và Prefix size.
25. Nhấn OK.
26. Nhấp vào Trusted Network Detection (tùy chọn).
27. Nhập DNS suffix được liên kết với mạng nội bộ.
28. Nhấp vào Add.
29. Bấm OK hai lần, rồi nhấp vào Create để tạo profile Always On VPN.
Mọi thao tác đã hoàn tất!
Cách triển khai profile Always On VPN bằng Intune
Rất đơn giản. Khi profile Always On VPN đã được tạo, hãy làm theo các bước bên dưới để gán profile cho thiết bị khách:
1. Nhấp vào Assignments.
2. Chọn Selected Groups từ danh sách drop-down Assign to.
3. Bấm Select groups to include.
4. Nhấp vào nhóm mục tiêu thích hợp.
5. Bấm Select.
6. Nhấp vào Save.