Microsoft ha ufficialmente deprecato DirectAccess e ne prevede la rimozione in una futura versione di Windows Server. Il successore designato è Always On VPN, introdotto con Windows Server 2016 e Windows 10. In questo articolo analizziamo cosa significa concretamente la deprecazione, perché Microsoft sta operando questa transizione, le differenze tecniche tra le due soluzioni e come pianificare la migrazione.
Cos’è DirectAccess e cosa cambia con la deprecazione
DirectAccess è la tecnologia di accesso remoto di Microsoft che consente ai client Windows uniti al dominio di connettersi automaticamente alle risorse aziendali interne senza una VPN tradizionale avviata dall’utente. Crea tunnel IPsec sempre attivi (usando IPv6 e tecnologie di transizione su IPv4) tra il client e il server DirectAccess, rendendo il dispositivo effettivamente “dentro” la rete aziendale ogni volta che ha connettività internet.
Quando Microsoft contrassegna una funzionalità come deprecata, questa rimane funzionale e supportata per il resto del ciclo di vita della versione del prodotto. DirectAccess non smette di funzionare da un giorno all’altro: se si esegue Windows Server 2025 o qualsiasi versione supportata precedente che include DirectAccess, è possibile continuare a utilizzarlo fino al termine del supporto per quella versione. Tuttavia, Microsoft ha confermato che DirectAccess sarà rimosso completamente da una futura release di Windows Server — nessuna data specifica è stata annunciata a giugno 2026.
Perché DirectAccess viene sostituito
DirectAccess è stato progettato per ambienti on-premises tradizionali in cui tutti i dispositivi gestiti sono uniti al dominio. Si basa su Group Policy per la configurazione e sulle tecnologie di transizione IPv6 per trasportare il traffico su reti IPv4. Questi protocolli di transizione — Teredo, 6to4 e IP-HTTPS — creano livelli aggiuntivi di incapsulamento e cifratura che aggiungono complessità, possono ridurre le prestazioni e sono difficili da diagnosticare.
Ogni client DirectAccess deve eseguire l’edizione Windows Enterprise, e sia il server che il client devono essere uniti al dominio. Questo esclude scenari BYOD e dispositivi Entra ID-joined non appartenenti a un dominio Active Directory on-premises. Microsoft ha inoltre smesso di aggiungere nuove funzionalità a DirectAccess dopo Windows Server 2012 R2: nessuna novità da oltre un decennio.
Panoramica di Always On VPN
Always On VPN utilizza il client VPN integrato di Windows e non richiede una funzionalità Windows dedicata lato client. È disponibile su tutte le edizioni di Windows 10 e Windows 11, inclusi i dispositivi non uniti al dominio. Supporta dispositivi domain-joined, Entra ID-joined, hybrid-joined e workgroup, abilitando scenari BYOD.
Sul lato server è possibile utilizzare Windows RRAS (Routing and Remote Access Service) oppure un gateway VPN di terze parti supportato. Always On VPN supporta due protocolli VPN principali:
- IKEv2 (Internet Key Exchange version 2): protocollo primario, usa le porte UDP 500 e 4500, offre sicurezza elevata e buone prestazioni su connessioni instabili.
- SSTP (Secure Socket Tunneling Protocol): usa la porta TCP 443, utile come fallback in ambienti dove i firewall bloccano il traffico UDP.
Nessuno dei due protocolli richiede meccanismi di transizione IPv6, eliminando la dipendenza da NAT64/DNS64 che caratterizzava DirectAccess.
Tunnel utente e tunnel dispositivo
Always On VPN offre due tipi di connessione che possono essere attivi contemporaneamente sullo stesso dispositivo:
- User Tunnel: si connette dopo l’accesso dell’utente. Supporta IKEv2 e SSTP ed è disponibile in tutte le edizioni di Windows 10 e Windows 11.
- Device Tunnel: si connette prima che l’utente acceda, rendendo raggiungibili i domain controller e i servizi di infrastruttura durante l’avvio del sistema. Supporta solo IKEv2 (nessun fallback SSTP). Richiede Windows 10 Enterprise 1709 o successivo e il dispositivo deve essere unito al dominio. La configurazione avviene tramite PowerShell o PsExec sull’account LOCAL SYSTEM.
Autenticazione, sicurezza e integrazione Zero Trust
Always On VPN supporta l’integrazione con Microsoft Entra ID per MFA (autenticazione a più fattori) e Conditional Access — il motore di policy che concede o blocca l’accesso in base a condizioni come lo stato di conformità del dispositivo o il rischio di accesso. Questo si allinea al modello Zero Trust, che richiede la verifica di ogni connessione indipendentemente dalla posizione di rete.
L’autenticazione del client utilizza tipicamente PEAP-TLS (Protected Extensible Authentication Protocol con Transport Layer Security), che racchiude l’autenticazione basata su certificati utente all’interno di un canale cifrato. In alternativa è supportato Windows Hello for Business per l’autenticazione basata su certificati, che fornisce single sign-on al dispositivo e alla VPN senza un prompt password secondario.
Opzioni di gestione
Always On VPN può essere distribuito e gestito tramite Intune, Configuration Manager, PowerShell o qualsiasi strumento MDM che supporti il formato di configurazione standard ProfileXML. Non si è più limitati a Group Policy, l’unico metodo di gestione disponibile per DirectAccess.
Processo di migrazione: approccio a fasi
Microsoft raccomanda una migrazione a fasi. La guida ufficiale suddivide il processo in quattro stadi:
- Pianificazione: Definire i “migration ring” (gruppi di utenti o dispositivi migrati in batch), confrontare le funzionalità di DirectAccess e Always On VPN, progettare la nuova infrastruttura.
- Deploy dell’infrastruttura: Avviare il server Always On VPN affiancato all’ambiente DirectAccess esistente. Entrambi possono funzionare simultaneamente, consentendo la migrazione degli utenti senza downtime.
- Deploy certificati e configurazione client: Emettere i certificati dalla PKI e distribuire il profilo VPN (uno script
VPN_Profile.ps1o un profilo Intune) ai dispositivi client. - Decommissioning: Una volta migrati tutti i client, rimuovere la configurazione DirectAccess dai client, rimuovere il ruolo DirectAccess dal server e dismettere il server da Active Directory.
Confronto diretto: DirectAccess vs Always On VPN
Caratteristica | DirectAccess | Always On VPN
------------------------|---------------------------|---------------------------
Edizioni Windows client | Solo Enterprise | Tutte le edizioni
Requisito dominio | Obbligatorio | Opzionale (supporta Entra ID)
BYOD | Non supportato | Supportato
Protocollo | IPsec/IPv6 + transizione | IKEv2, SSTP
Gestione | Solo Group Policy | Intune, GPO, PowerShell, MDM
MFA/Conditional Access | Limitato | Integrazione Entra ID nativa
Supporto Zero Trust | No | Sì
Conclusioni
DirectAccess continuerà a funzionare sulle versioni supportate di Windows Server, ma la sua deprecazione segnala il cambiamento di rotta di Microsoft verso soluzioni di accesso remoto più flessibili e cloud-ready. Always On VPN risolve molte delle limitazioni di DirectAccess supportando la gestione moderna dei dispositivi, metodi di autenticazione diversificati e una gamma più ampia di scenari di distribuzione, inclusi BYOD e dispositivi Entra ID-joined.
Le organizzazioni che attualmente utilizzano DirectAccess dovrebbero iniziare a pianificare la strategia di migrazione per evitare di essere impattate dalla sua eventuale rimozione da Windows Server. Una transizione a fasi consente la coesistenza delle due tecnologie, minimizzando le interruzioni durante la modernizzazione dell’infrastruttura di connettività remota.
Fonte originale: DirectAccess deprecated: migrate to Always On VPN – 4sysops