Sdílet prostřednictvím


Simulace vzdáleného síťového připojení pomocí virtuální sítě Azure WAN

Tento článek vysvětluje, jak simulovat vzdálené připojení k síti pomocí vzdálené virtuální sítě WAN (Virtual Wide Area Network). Pokud chcete simulovat vzdálené síťové připojení pomocí brány virtuální sítě Azure (VNG), přečtěte si článek Simulace vzdáleného síťového připojení pomocí Azure VNG.

Požadavky

K dokončení kroků v tomto procesu musíte mít splněné následující požadavky:

  • Předplatné Azure a oprávnění k vytváření prostředků na webu Azure Portal
  • Základní znalost virtuálních sítí WAN (Virtual Wide Area Network).
  • Základní znalost připojení VPN typu site-to-site.
  • Tenant Microsoft Entra s přiřazenou rolí globálního správce zabezpečeného přístupu.
  • Základní znalost virtuálních počítačů Azure nebo virtuálních počítačů Azure

Tento dokument používá následující ukázkové hodnoty spolu s hodnotami v obrázcích a krocích. Tato nastavení si můžete nakonfigurovat podle vlastních požadavků.

  • Předplatné: Visual Studio Enterprise
  • Název skupiny prostředků: GlobalSecureAccess_Documentation
  • Oblast: USA – středojižní

Základní kroky

Postup vytvoření vzdálené sítě pomocí virtuální sítě AZURE vyžaduje přístup k webu Azure Portal i k Centru pro správu Microsoft Entra. Abyste mezi nimi mohli snadno přepínat, nechte Azure a Microsoft Entra otevřené na samostatných kartách. Vzhledem k tomu, že nasazení některých prostředků může trvat déle než 30 minut, vyhraďte si alespoň dvě hodiny na dokončení tohoto procesu. Připomenutí: Prostředky, které zůstaly spuštěné, vám můžou stát peníze. Po dokončení testování nebo na konci projektu je vhodné odebrat prostředky, které už nepotřebujete.

  1. Nastavení virtuální sítě WAN na webu Azure Portal
    1. Vytvoření virtuální sítě WAN
    2. Vytvoření virtuálního centra s bránouVPN typu site-to-site trvá přibližně 30 minut.
    3. Získání informací o bráně VPN
  2. Vytvoření vzdálené sítě v Centru pro správu Microsoft Entra
  3. Vytvoření lokality VPN pomocí brány Microsoftu
    1. Vytvoření lokality VPN
    2. Vytvořte připojenítypu site-to-site. Nasazení připojení typu site-to-site trvá přibližně 30 minut.
    3. Kontrola připojení protokolu hraniční brány a naučených tras na webu Microsoft Azure Portal
    4. Kontrola připojení v Centru pro správu Microsoft Entra
  4. Konfigurace funkcí zabezpečení pro testování
    1. Vytvoření virtuální sítě
    2. Přidání připojení virtuální sítě k virtuální síti WAN
    3. Vytvoření virtuální plochy Azure Azure Virtual Desktoptrvá přibližně 30 minut, než se nasadí. Bastion trvá dalších 30 minut.
  5. Testování funkcí zabezpečení pomocí služby Azure Virtual Desktop (AVD)
    1. Otestování omezení tenanta
    2. Obnovení testovací zdrojové IP adresy

Nastavení virtuální sítě WAN na webu Azure Portal

Existují tři hlavní kroky k nastavení virtuální sítě WAN:

  1. Vytvoření virtuální sítě WAN
  2. Vytvoření virtuálního centra s bránou VPN typu site-to-site
  3. Získání informací o bráně VPN

Vytvoření virtuální sítě WAN

Vytvořte virtuální síť WAN pro připojení k vašim prostředkům v Azure. Další informace o virtuální síti WAN najdete v přehledu virtuální sítě WAN.

  1. Na webu Microsoft Azure Portal na panelu Hledat prostředky zadejte do vyhledávacího pole virtuální síť WAN a vyberte Enter.
  2. Ve výsledcích vyberte sítě vWAN . Na stránce vWANs vyberte + Vytvořit , aby se otevřela stránka Vytvořit síť WAN .
  3. Na stránce Vytvořit síť WAN na kartě Základy vyplňte pole. Upravte ukázkové hodnoty tak, aby se použily pro vaše prostředí.
    • Předplatné: Vyberte předplatné, které chcete použít.
    • Skupina prostředků: Vytvořte novou nebo použijte existující.
    • Umístění skupiny prostředků: V rozevíracím seznamu zvolte umístění prostředku. Síť WAN je globální prostředek, který není v konkrétní oblasti. Musíte ale vybrat oblast pro správu a vyhledání prostředku sítě WAN, který vytvoříte.
    • Název: Zadejte název, který chcete volat virtuální síť WAN.
    • Typ: Basic nebo Standard. Vyberte položku Standardní. Pokud vyberete Základní, rozumíte tomu, že virtuální sítě VWAN můžou obsahovat pouze centra Basic. Základní rozbočovače lze použít pouze pro připojení typu site-to-site.
  4. Po vyplněnípolích Snímek obrazovky se stránkou Vytvořit síť WAN s vyplněnými poli
  5. Jakmile ověření projde, vyberte tlačítko Vytvořit .

Vytvoření virtuálního centra s bránou VPN

Dále vytvořte virtuální centrum s bránou vpn (Site-to-Site Virtual Private Network):

  1. V rámci nové virtuální sítě WAN v části Připojení vyberte Centra.
  2. Vyberte + Nové centrum.
  3. Na stránce Vytvořit virtuální centrum na kartě Základy vyplňte pole podle vašeho prostředí.
    • Oblast: Vyberte oblast, ve které chcete nasadit virtuální centrum.
    • Název: Název, podle kterého chcete, aby bylo virtuální centrum známé.
    • Privátní adresní prostor centra: V tomto příkladu použijte 10.101.0.0/24. Pokud chcete vytvořit centrum, musí být rozsah adres v zápisu CIDR (Classless Inter-Domain Routing) a musí mít minimální adresní prostor /24.
    • Kapacita virtuálního centra: V tomto příkladu vyberte 2 jednotky infrastruktury směrování, směrovač 3 Gb/s, podporuje 2 000 virtuálních počítačů. Další informace najdete v tématu Nastavení virtuálního centra.
    • Předvolba směrování centra: Ponechte výchozí nastavení. Další informace najdete v tématu Předvolby směrování virtuálního centra.
    • Vyberte Další: Web na web >. Snímek obrazovky se stránkou Vytvořit virtuální centrum na kartě Základy a vyplněnými poli
  4. Na kartě Web-to-Site vyplňte následující pole:
    • Výběrem možnosti Ano vytvořte site-to-site (bránu VPN).
    • ČÍSLO AS: Pole Číslo AS nelze upravit.
    • Jednotky škálování brány: V tomto příkladu vyberte 1 jednotku škálování – 500 Mb/s x 2. Tato hodnota by měla odpovídat agregované propustnosti brány VPN, která se vytváří ve virtuálním centru.
    • Předvolba směrování: V tomto příkladu vyberte síť Microsoftu a zjistěte, jak směrovat provoz mezi Azure a internetem. Další informace o předvolbách směrování prostřednictvím sítě Microsoft nebo poskytovatele internetových služeb najdete v článku Předvolby směrování. Snímek obrazovky se stránkou Vytvořit virtuální centrum na kartě Web-to-Site s vyplněnými poli
  5. Zbývající možnosti karty ponechte nastavené na výchozí hodnoty a vyberte Zkontrolovat a vytvořit , abyste je ověřili.
  6. Výběrem možnosti Vytvořit vytvořte centrum a bránu. Tento proces může trvat až 30 minut.
  7. Po 30 minutách aktualizujte , aby se centrum zobrazilo na stránce Centra a pak vyberte Přejít k prostředku a přejděte k prostředku.

Získání informací o bráně VPN

Pokud chcete vytvořit vzdálenou síť v Centru pro správu Microsoft Entra, musíte zobrazit a zaznamenat informace o bráně VPN pro virtuální centrum, které jste vytvořili v předchozím kroku.

  1. V rámci nové virtuální sítě WAN v části Připojení vyberte Centra.
  2. Vyberte virtuální centrum.
  3. Vyberte VPN (site-to-site).
  4. Na stránce Virtuální centrum vyberte odkaz služby VPN Gateway . Snímek obrazovky se stránkou VPN (site-to-site) se zobrazeným odkazem služby VPN Gateway
  5. Na stránce služby VPN Gateway vyberte zobrazení JSON.
  6. Zkopírujte text JSON do souboru pro referenci v nadcházejících krocích. Poznamenejte si číslo autonomního systému (ASN), IP adresu zařízení a adresu protokolu BGP (Border Gateway Protocol), která se má použít v Centru pro správu Microsoft Entra v dalším kroku.
       "bgpSettings": {
            "asn": 65515,
            "peerWeight": 0,
            "bgpPeeringAddresses": [
                {
                    "ipconfigurationId": "Instance0",
                    "defaultBgpIpAddresses": [
                        "10.101.0.12"
                    ],
                    "customBgpIpAddresses": [],
                    "tunnelIpAddresses": [
                        "203.0.113.250",
                        "10.101.0.4"
                    ]
                },
                {
                    "ipconfigurationId": "Instance1",
                    "defaultBgpIpAddresses": [
                        "10.101.0.13"
                    ],
                    "customBgpIpAddresses": [],
                    "tunnelIpAddresses": [
                        "203.0.113.251",
                        "10.101.0.5"
                    ]
                }
            ]
        }
    
    

Tip

Hodnotu ASN nelze změnit.

Vytvoření vzdálené sítě v Centru pro správu Microsoft Entra

V tomto kroku pomocí informací o síti z brány VPN vytvořte vzdálenou síť v Centru pro správu Microsoft Entra. Prvním krokem je zadání názvu a umístění vzdálené sítě.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.
  2. Přejděte na globální zabezpečené připojení ke>>vzdáleným sítím.
  3. Vyberte tlačítko Vytvořit vzdálenou síť a zadejte podrobnosti.
    • Název: V tomto příkladu použijte Azure_vWAN.
    • Oblast: V tomto příkladu vyberte USA – středojiž.
  4. Vyberte Další: Připojení a přejděte na kartu Připojení . Snímek obrazovky se stránkou Vytvořit vzdálenou síť na kartě Základy se zvýrazněným tlačítkem Další: Připojení
  5. Na kartě Připojení přidejte propojení zařízení pro vzdálenou síť. Vytvořte jeden odkaz pro instanci brány VPN0 a druhý odkaz pro instanci brány VPN1:
    1. Vyberte + Přidat odkaz.
    2. Vyplňte pole na kartě Obecné ve formuláři Přidat odkaz pomocí konfigurace Instance0 brány VPN ze zobrazení JSON:
      • Název odkazu: Název místního zařízení zákazníka (CPE). V tomto příkladu instance0.

      • Typ zařízení: V rozevíracím seznamu zvolte možnost zařízení. Nastavte na jiný.

      • IP adresa zařízení: Veřejná IP adresa vašeho zařízení. V tomto příkladu použijte 203.0.113.250.

      • Adresa protokolu BGP zařízení: Zadejte IP adresu protokolu BGP (Border Gateway Protocol) vašeho CPE. V tomto příkladu použijte 10.101.0.4.

      • ASN zařízení: Zadejte číslo autonomního systému (ASN) CPE. V tomto příkladu je ASN 65515.

      • Redundance: Nastavte na hodnotu Žádná redundance.

      • Zónově redundantní místní adresa protokolu BGP: Toto volitelné pole se zobrazí jenom v případě, že vyberete redundanci zóny.

        • Zadejte IP adresu protokolu BGP, která není součástí vaší místní sítě, kde se nachází vaše cpe, a liší se od místní adresy protokolu BGP.
      • Kapacita šířky pásma (Mb/s):Zadejte šířku pásma tunelu. V tomto příkladu nastavte na 250 Mb/s.

      • Místní adresa protokolu BGP: Použijte IP adresu protokolu BGP, která není součástí vaší místní sítě, ve které se nachází vaše cpe, například 192.168.10.10.

        • Projděte si platný seznam adres protokolu BGP pro rezervované hodnoty, které se nedají použít.

        Snímek obrazovky s formulářem Přidat odkaz se šipkami zobrazující vztah mezi kódem JSON a informacemi o odkazu

    3. Výběrem tlačítka Další zobrazíte kartu Podrobnosti. Ponechte výchozí nastavení.
    4. Výběrem tlačítka Další zobrazíte kartu Zabezpečení.
    5. Zadejte předsdílený klíč (PSK). Stejný tajný klíč musí být použit ve vašem CPE.
    6. Vyberte tlačítko Uložit.

Další informace o odkazech najdete v článku Postup správy propojení vzdálených síťových zařízení.

  1. Opakováním výše uvedených kroků vytvořte druhý odkaz zařízení pomocí konfigurace Instance1 brány VPN.
    1. Vyberte + Přidat odkaz.
    2. Vyplňte pole na kartě Obecné ve formuláři Přidat odkaz pomocí konfigurace Instance1 brány VPN z zobrazení JSON:
      • Název odkazu: Instance1
      • Typ zařízení: Jiné
      • IP adresa zařízení: 203.0.113.251
      • Adresa protokolu BGP zařízení: 10.101.0.5
      • Zařízení ASN: 65515
      • Redundance: Žádná redundance
      • Kapacita šířky pásma (Mb/s): 250 Mb/s
      • Místní adresa protokolu BGP: 192.168.10.11
    3. Výběrem tlačítka Další zobrazíte kartu Podrobnosti. Ponechte výchozí nastavení.
    4. Výběrem tlačítka Další zobrazíte kartu Zabezpečení.
    5. Zadejte předsdílený klíč (PSK). Stejný tajný klíč musí být použit ve vašem CPE.
    6. Vyberte tlačítko Uložit.
  2. Přejděte na kartu Profily provozu a vyberte profil provozu pro propojení se vzdálenou sítí.
  3. Vyberte profil provozu Microsoftu 365.
  4. Vyberte Zkontrolovat a vytvořit.
  5. Vyberte Vytvořit vzdálenou síť.

Přejděte na stránku Vzdálená síť a zobrazte podrobnosti o nové vzdálené síti. Měla by existovat jedna oblast a dvě propojení.

  1. V části Podrobnosti o připojení vyberte odkaz Zobrazit konfiguraci . Snímek obrazovky se stránkou Vzdálená síť s nově vytvořenou oblastí, jejími dvěma odkazy a zvýrazněným odkazem Zobrazit konfiguraci
  2. Zkopírujte text konfigurace vzdálené sítě do souboru pro referenci v nadcházejících krocích. Poznamenejte si adresu koncového bodu, ASN a protokolu BGP pro každý odkaz (Instance0 a Instance1).
       {
      "id": "68d2fab0-0efd-48af-bb17-d793f8ec8bd8",
      "displayName": "Instance0",
      "localConfigurations": [
        {
          "endpoint": "203.0.113.32",
          "asn": 65476,
          "bgpAddress": "192.168.10.10",
          "region": "southCentralUS"
        }
      ],
      "peerConfiguration": {
        "endpoint": "203.0.113.250",
        "asn": 65515,
        "bgpAddress": "10.101.0.4"
      }
    },
    {
      "id": "26500385-b1fe-4a1c-a546-39e2d0faa31f",
      "displayName": "Instance1",
      "localConfigurations": [
        {
          "endpoint": "203.0.113.34",
          "asn": 65476,
          "bgpAddress": "192.168.10.11",
          "region": "southCentralUS"
        }
      ],
      "peerConfiguration": {
        "endpoint": "203.0.113.251",
        "asn": 65515,
        "bgpAddress": "10.101.0.5"
      }
    }
    

Vytvoření lokality VPN pomocí brány Microsoftu

V tomto kroku vytvořte lokalitu VPN, přidružte lokalitu VPN k centru a ověřte připojení.

Vytvoření lokality VPN

  1. Na webu Microsoft Azure Portal se přihlaste k virtuálnímu centru vytvořenému v předchozích krocích.
  2. Přejděte k síti VPN připojení>(site-to-site).
  3. Vyberte + Vytvořit novou lokalitu VPN.
  4. Na stránce Vytvořit web VPN vyplňte pole na kartě Základy.
  5. Přejděte na kartu Odkazy . Pro každý odkaz zadejte konfiguraci brány Microsoftu z konfigurace vzdálené sítě, kterou jste si poznamenali v kroku Podrobnosti zobrazení:
    • Název odkazu: V tomto příkladu instance0; Instance1.
    • Rychlost propojení: V tomto příkladu 250 pro obě propojení.
    • Název zprostředkovatele propojení: Pro oba odkazy nastavte na jiný .
    • Ip adresa nebo plně kvalifikovaný název domény propojení: Použijte adresu koncového bodu. V tomto příkladu 203.0.113.32; 203.0.113.34.
    • Adresa protokolu BGP propojení: Použijte adresu protokolu BGP 192.168.10.10; 192.168.10.11.
    • Propojení ASN: Použijte ASN. V tomto příkladu 65476 pro obě propojení. Snímek obrazovky se stránkou Vytvořit síť VPN na kartě Odkazy a vyplněnými poli
  6. Vyberte Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Vytvoření připojení typu Site-to-Site

V tomto kroku přidružte lokalitu VPN z předchozího kroku k centru. Potom odeberte výchozí přidružení centra:

  1. Přejděte k síti VPN připojení>(site-to-site).
  2. Vyberte X a odeberte výchozí přidružení centra: Připojeno k tomuto filtru rozbočovače, aby se lokalita VPN zobrazila v seznamu dostupných lokalit VPN. Snímek obrazovky se stránkou VPN (Site-to-Site) se zvýrazněnou možností X pro filtr přidružení centra
  3. V seznamu vyberte lokalitu VPN a vyberte Připojit lokality VPN.
  4. Ve formuláři Připojit lokality zadejte stejný předsdílený klíč (PSK) používaný pro Centrum pro správu Microsoft Entra.
  5. Vyberte Připojit.
  6. Po přibližně 30 minutách se lokalita VPN aktualizuje, aby zobrazovala ikony úspěchu pro stav zřizování připojení i stav připojení. Snímek obrazovky se stránkou VPN (Site-to-Site) zobrazující úspěšný stav zřizování připojení i připojení

Kontrola připojení protokolu BGP a naučených tras na webu Microsoft Azure Portal

V tomto kroku pomocí řídicího panelu protokolu BGP zkontrolujte seznam naučených tras, které se brána typu site-to-site učí.

  1. Přejděte k síti VPN připojení>(site-to-site).
  2. Vyberte lokalitu VPN vytvořenou v předchozích krocích.
  3. Vyberte řídicí panel protokolu BGP.

Na řídicím panelu protokolu BGP jsou uvedeny partnerské vztahy protokolu BGP (brány VPN a lokalita VPN), které by měly mít stav připojení.

  1. Pokud chcete zobrazit seznam naučených tras, vyberte Trasy, které brána typu site-to-site učí.

Seznam naučených tras ukazuje, že brána typu site-to-site se učí trasy Microsoftu 365 uvedené v profilu provozu Microsoftu 365. Snímek obrazovky se stránkou Naučené trasy se zvýrazněnými trasami Microsoftu 365

Následující obrázek ukazuje zásady a pravidla profilu provozu pro profil Microsoftu 365, která by se měla shodovat s trasami, které se naučily z brány typu site-to-site. Snímek obrazovky s profily přesměrování provozu Microsoftu 365 zobrazující odpovídající naučené trasy

Kontrola připojení v Centru pro správu Microsoft Entra

Zobrazte protokoly stavu vzdálené sítě a ověřte připojení v Centru pro správu Microsoft Entra.

  1. V Centru pro správu Microsoft Entra přejděte do globálních protokolů stavu vzdáleného síťového monitorování>zabezpečeného přístupu.>
  2. Vyberte Přidat filtr.
  3. Vyberte Zdrojovou IP adresu a zadejte zdrojovou IP adresu instance brány VPN0 nebo IP adresu instance1 . Vyberte Použít.
  4. Připojení by mělo být "Vzdálená síť naživu".

Můžete také ověřit filtrováním pomocí tunnelConnected nebo BGPConnected. Další informace najdete v tématu Co jsou protokoly stavu vzdálené sítě?.

Konfigurace funkcí zabezpečení pro testování

V tomto kroku se připravíme na testování konfigurací virtuální sítě, přidáním připojení virtuální sítě k virtuální síti WAN a vytvořením služby Azure Virtual Desktop.

Vytvoření virtuální sítě

V tomto kroku vytvořte virtuální síť pomocí webu Azure Portal.

  1. Na webu Azure Portal vyhledejte a vyberte Virtuální sítě.
  2. Na stránce Virtuální sítě vyberte + Vytvořit.
  3. Dokončete kartu Základy, včetně předplatného, skupiny prostředků, názvu virtuální sítě a oblasti.
  4. Výběrem možnosti Další přejděte na kartu Zabezpečení .
  5. V části Azure Bastion vyberte Povolit Bastion.
    • Zadejte název hostitele služby Azure Bastion. V tomto příkladu použijte Virtual_network_01 bastion.
    • Vyberte veřejnou IP adresu služby Azure Bastion. V tomto příkladu vyberte výchozí (Nový). Snímek obrazovky Vytvořit virtuální síť na kartě Zabezpečení zobrazující nastavení Bastionu
  6. Výběrem možnosti Další přejděte na kartu IP adresy . Nakonfigurujte adresní prostor virtuální sítě s jedním nebo více rozsahy adres IPv4 nebo IPv6.

Tip

Nepoužívejte překrývající se adresní prostor. Pokud například virtuální centrum vytvořené v předchozích krocích používá adresní prostor 10.0.0.0/16, vytvořte tuto virtuální síť s adresní prostorem 10.2.0.0/16. 7. Vyberte Zkontrolovat a vytvořit. Po úspěšném ověření vyberte Vytvořit.

Přidání připojení virtuální sítě k virtuální síti WAN

V tomto kroku připojte virtuální síť k virtuální síti WAN.

  1. Otevřete virtuální síť WAN vytvořenou v předchozích krocích a přejděte na připojení k virtuální síti připojení>.
  2. Vyberte + Add connection (Přidat připojení).
  3. Vyplňte formulář Přidat připojení a vyberte hodnoty z virtuálního centra a virtuální sítě vytvořené v předchozích částech:
    • Název připojení: VirtualNetwork
    • Rozbočovače: hub1
    • Předplatné: Předplatné Azure Contoso
    • Skupina prostředků: GlobalSecureAccess_Documentation
    • Virtuální síť: VirtualNetwork
  4. Zbývající pole ponechte nastavená na výchozí hodnoty a vyberte Vytvořit. Snímek obrazovky s formulářem Přidat připojení s ukázkovými informacemi v požadovaných polích

Vytvoření služby Azure Virtual Desktop

V tomto kroku vytvořte virtuální plochu a hostujte ji pomocí Bastionu.

  1. Na webu Azure Portal vyhledejte a vyberte Azure Virtual Desktop.
  2. Na stránce Azure Virtual Desktop vyberte Vytvořit fond hostitelů.
  3. Dokončete kartu Základy následujícím kódem:
    • Název fondu hostitelů. V tomto příkladu virtualDesktops.
    • Umístění objektu Azure Virtual Desktop. V tomto případě USA – středojihov.
    • Upřednostňovaný typ skupiny aplikací: vyberte Desktop.
    • Typ fondu hostitelů: Vyberte Fond.
    • Algoritmus vyrovnávání zatížení: nejprve vyberte Možnost Šířka.
    • Maximální limit relace: vyberte 2.
  4. Vyberte Další: Virtuální počítače.
  5. Dokončete kartu Další: Virtuální počítače následujícím kódem:
    • Přidání virtuálních počítačů: Ano
    • Požadovaná skupina prostředků. V tomto příkladu GlobalSecureAccess_Documentation.
    • Předpona názvu: avd
    • Typ virtuálního počítače: Vyberte virtuální počítač Azure.
    • Umístění virtuálního počítače: USA – středojiž.
    • Možnosti dostupnosti: Vyberte Možnost Bez redundance infrastruktury.
    • Typ zabezpečení: Vyberte Důvěryhodný spouštěcí virtuální počítač.
    • Povolení zabezpečeného spouštění: Ano
    • Povolení virtuálního počítače vTPM: Ano
    • Obrázek: V tomto příkladu vyberte více relací Windows 11 Enterprise + aplikace Microsoft 365 verze 22H2.
    • Velikost virtuálního počítače: vyberte Standard D2s v3, 2 vCPU, 8 GB paměti.
    • Počet virtuálních počítačů: 1
    • Virtuální síť: Vyberte virtuální síť vytvořenou v předchozím kroku VirtualNetwork.
    • Doména, ke které se chcete připojit: vyberte ID Microsoft Entra.
    • Zadejte přihlašovací údaje účtu správce.
  6. Ostatní možnosti ponechte výchozí a vyberte Zkontrolovat a vytvořit.
  7. Po úspěšném ověření vyberte Vytvořit.
  8. Po přibližně 30 minutách se fond hostitelů aktualizuje, aby ukázal, že nasazení je hotové.
  9. Přejděte na domovskou stránku Microsoft Azure a vyberte Virtuální počítače.
  10. Vyberte virtuální počítač vytvořený v předchozích krocích.
  11. Vyberte Připojit připojení>přes Bastion.
  12. Vyberte Nasadit Bastion. Nasazení hostitele Bastionu trvá přibližně 30 minut.
  13. Po nasazení Bastionu zadejte stejné přihlašovací údaje správce, které se používají k vytvoření služby Azure Virtual Desktop.
  14. Vyberte Připojit. Spustí se virtuální plocha.

Testování funkcí zabezpečení pomocí Služby Azure Virtual Desktop (AVD)

V tomto kroku použijeme AVD k otestování omezení přístupu k virtuální síti.

Otestování omezení tenanta

Před testováním povolte omezení tenanta ve virtuální síti.

  1. V Centru pro správu Microsoft Entra přejděte do globální správy relací nastavení>zabezpečeného přístupu.>
  2. Pokud chcete vynutit omezení tenanta v síti, nastavte na přepínač Povolit označování.
  3. Zvolte Uložit.
  4. Zásady přístupu mezi tenanty můžete upravit tak, že přejdete na >nastavení přístupu externích identit mezi tenanty.> Další informace najdete v článku s přehledem přístupu mezi tenanty.
  5. Ponechte výchozí nastavení, která uživatelům brání v přihlášení pomocí externích účtů na spravovaných zařízeních.

Postup testování:

  1. Přihlaste se k virtuálnímu počítači Azure Virtual Desktopu vytvořenému v předchozích krocích.
  2. Přejděte na www.office.com a přihlaste se pomocí interního ID organizace. Tento test by měl úspěšně projít.
  3. Opakujte předchozí krok, ale s externím účtem. Tento test by měl selhat z důvodu blokovaného přístupu.
    Snímek obrazovky se zprávou Přístup je zablokovaný

Obnovení testovací zdrojové IP adresy

Před testováním povolte podmíněný přístup.

  1. V Centru pro správu Microsoft Entra přejděte do globální správy relací nastavení>zabezpečeného přístupu.>
  2. Vyberte kartu Adaptivní přístup.
  3. Nastavte přepínač Povolit globální zabezpečený přístup v podmíněném přístupu na zapnuto.
  4. Zvolte Uložit. Další informace najdete v článku Obnovení zdrojové IP adresy.

Testování (možnost 1): Opakujte test omezení tenanta z předchozí části:

  1. Přihlaste se k virtuálnímu počítači Azure Virtual Desktopu vytvořenému v předchozích krocích.
  2. Přejděte na www.office.com a přihlaste se pomocí interního ID organizace. Tento test by měl úspěšně projít.
  3. Opakujte předchozí krok, ale s externím účtem. Tento test by měl selhat, protože zdrojová IP adresa v chybové zprávě pochází z veřejné IP adresy brány VPN, a ne z proxy serveru Microsoft SSE, který požadavek na Microsoft Entra zprostředkuje.
    Snímek obrazovky se zprávou Přístup je blokovaný a zvýrazněnou IP adresou

Test (možnost 2):

  1. V Centru pro správu Microsoft Entra přejděte do globálních protokolů stavu vzdáleného síťového monitorování>zabezpečeného přístupu.>
  2. Vyberte Přidat filtr.
  3. Vyberte Zdrojovou IP adresu a zadejte veřejnou IP adresu brány VPN. Vyberte Použít. Snímek obrazovky se stránkou Protokoly stavu vzdálené sítě s otevřenou nabídkou Přidat filtr, která je připravená k zadání zdrojové IP adresy

Systém obnoví IP adresu místního vybavení zákazníka pobočky (CPE). Vzhledem k tomu, že brána VPN představuje CPE, protokoly stavu zobrazují veřejnou IP adresu brány VPN, nikoli IP adresu proxy serveru.

Odebrání nepotřebných prostředků

Po dokončení testování nebo na konci projektu je vhodné odebrat prostředky, které už nepotřebujete. Prostředky, které necháte spuštěné, vás stojí peníze. Prostředky můžete odstraňovat jednotlivě nebo můžete odstranit skupinu prostředků, a odstranit tak celou sadu prostředků najednou.