Le but de cet article étant de vous présenter la solution DirectAccess dans le contexte de la dépérimétrisation, je n’aborderai pas la partie configuration de la solution, et les éléments à mettre en œuvre pour son architecture et son déploiement.
Généralités
Microsoft DirectAccess
Microsoft DirectAccess est une nouvelle fonctionnalité introduite par Windows Server 2008 R2/Forefront Unified Access Gateway et Windows 7 Enterprise et Intégrale. C’est une solution de connexion, depuis n’importe où et transparente pour l’utilisateur, à votre système d’information. Cette fonctionnalité s’appuie sur les deux principes de la dépérimétrisation : La connexion de bout en bout et la gestion de l’identité.
DirectAccess ne remplace pas les solutions existantes, car nécessite des conditions pour son utilisation :
|
Poste du domaine |
Poste hors domaine |
|
| Windows 7 Enterprise / Ultimate |
DirectAccess |
VPN SSL |
| Autres OS (Windows XP, Windows 7 Home, Pro, Linux, MacOS etc…) |
VPN SSL |
VPN SSL |
La connexion de bout en bout avec DirectAccess
IPv6 n’étant aujourd’hui que très peu implanté nos réseaux d’infrastructure, il parait difficile de s’appuyer sur ce protocole pour assurer cette connectivité. Néanmoins, un certain nombre de mécanismes de translation sont à notre disposition pour garantir une connexion IPv6, en utilisant les réseaux IPv4.
IPv6 d’entreprise
Il faut dans un premier temps mettre en place IPv6 au sein de votre entreprise. Depuis Windows Server 2008, les cartes réseaux supportent nativement un adressage IPv6. Par défaut, les adresses sont du type « fe80::/10 ». Il s’agit d’une adresse « link local », équivalent du « 169.254.0.0/16 » d’IPv4. Néanmoins, elle ne permet pas la communication via les réseaux IPv4. Cette communication est assurée via l’affectation d’une adresse ISATAP, fournie par un routeur ISATAP installé dans votre réseau, votre serveur DirectAccess par exemple.
Pour les serveurs ne supportant pas IPv6, Microsoft Forefront Unified Access Gateway fournis deux composants lors de la mise en œuvre de DirectAccess :
| DNS64 |
NAT64 |
| Permet de transformer la résolution IPv4 d’un serveur DNS en une réponse IPv6. Cette fonctionnalité permet donc de résoudre des noms de serveurs ne supportant pas IPv6. |
Permet la communication entre le réseau mixte IPv6 et un réseau IPv4 pur, afin de pouvoir communiquer avec un serveur ne supportant pas IPv6 |
IPv6 personnel
Une fois le poste client en dehors du réseau d’entreprise, il doit disposer d’une adresse IPv6. Plusieurs solutions sont à sa disposition pour faire la translation d’adresse IPv6 vers IPv4 :
| Emplacement | Méthode de translation |
| Public (dispose d’une adresse IPv4 publique) | 6to4 |
| Domicile (derrière un NAT – box ADSL par exemple) | Teredo |
| Domicile ou Client (derrière un proxy ou NAT filtrant – hors https) | IP-HTTPS |
Je vous laisse consulter plus en détail ces différentes méthodes de translation disponibles dans les systèmes d’exploitation Windows Server 2008 R2 et Windows 7 .
DirectAccess configure via stratégie de groupe les postes clients pour le paramétrage de leurs interfaces réseau.
La gestion de l’identité
Comme vu précédemment, il est nécessaire de garantir l’identité du poste client, de l’utilisateur et du serveur auquel la connexion est effectuée. DirectAccess s’appuie sur les certificats numériques ordinateurs et sur l’authentification Active Directory de l’utilisateur pour gérer cette identité.
Lors de la configuration du poste de travail, le compte ordinateur reçoit un certificat qui lui permet de monter le premier tunnel IPSec vers les services d’infrastructure de l’entreprise. Il est ensuite possible à l’utilisateur de s’authentifier, pour monter le second tunnel IPSec applicatif.
Principe de connexion
Il apparaît que la connexion aux ressources de l’entreprise se fait en deux temps : connexion aux serveurs d’infrastructure via un premier tunnel IPSec, afin de fournir le minimum de services pour l’authentification, de politique réseau et l’étude de la conformité du poste de travail, les serveurs de mises à jour ou télédistribution (Antivirus, WSUS, SCCM), et un second tunnel IPSec pour la fourniture des services applicatifs une fois l’ensemble des vérifications d’intégrité effectuées.
Téléchargez cette ressource
Sécuriser Microsoft 365 avec une approche Zero-Trust
Découvrez comment renforcer la cyber-résilience de Microsoft 365 grâce à une approche Zero-Trust, une administration granulaire et une automatisation avancée. La technologie Virtual Tenant de CoreView permet de sécuriser et simplifier la gestion des environnements complexes, tout en complétant vos stratégies IAM, y compris dans les secteurs réglementés.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
- L’analytique prédictive au service de la décarbonation en France
- Ofelia, ex-Bonitasoft, lance une solution d’orchestration IA agentique
- Le bruit au travail et ses effets sur la concentration dans les bureaux modernes
Articles les + lus
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
Analyse Patch Tuesday Mai 2026
Les coûts cachés des merge requests générées par l’IA
Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
À la une de la chaîne Tech
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
- Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
- Analyse Patch Tuesday Mai 2026
- Les coûts cachés des merge requests générées par l’IA
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
