Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Übersicht
Der globale sichere Zugriff unterstützt zwei Konnektivitätsoptionen: Installieren eines Clients auf einem Endbenutzergerät und Konfigurieren eines Remotenetzwerks, z. B. eines Zweigstandorts mit einem physischen Router. Die Remotenetzwerkkonnektivität optimiert, wie Ihre Endbenutzer und Gäste eine Verbindung von einem Remotenetzwerk aus herstellen, ohne den Global Secure Access-Client installieren zu müssen.
In diesem Artikel werden die wichtigsten Konzepte der Remotenetzwerkkonnektivität zusammen mit gängigen Szenarien beschrieben, in denen sie nützlich sein kann.
Was ist ein Remotenetzwerk?
Remotenetzwerke sind Remotestandorte oder Netzwerke, die eine Internetverbindung erfordern. Beispielsweise verfügen viele Organisationen über einen Hauptsitz und Zweigstellenstandorte in verschiedenen geografischen Gebieten. Diese Zweigstellen benötigen Zugriff auf Unternehmensdaten und -dienste. Sie benötigen eine sichere Möglichkeit für die Kommunikation mit dem Rechenzentrum, dem Hauptsitz und den Remotemitarbeitern. Die Sicherheit von Remotenetzwerken ist für viele Arten von Organisationen von entscheidender Bedeutung.
In der Regel verbinden Sie Remotenetzwerke, z. B. einen Zweigstellenstandort, mit dem Unternehmensnetzwerk über ein dediziertes WAN (Wide Area Network) oder eine VPN-Verbindung (Virtual Private Network). Mitarbeiter am Zweigstellenstandort stellen eine Verbindung mit dem Netzwerk mithilfe von Kundenstandortgeräten (CPE) her.
Aktuelle Herausforderungen für die Sicherheit von Remotenetzwerken
Die Bandbreitenanforderungen sind gestiegen – Die Anzahl der Geräte, die Internetzugriff erfordern, nimmt exponentiell zu. Herkömmliche Netzwerke lassen sich nur schwer skalieren. Mit der Einführung von Software as a Service (SaaS)-Anwendungen wie Microsoft 365 gibt es immer wachsende Anforderungen an eine geringe Latenz und jitterfreie Kommunikation, mit der herkömmliche Technologien wie Wide Area Network (WAN) und Multi-Protocol Label Switching (MPLS) kämpfen.
IT-Teams sind teuer – In der Regel platzieren Sie Firewalls auf physischen Geräten lokal, was ein IT-Team für die Einrichtung und Wartung erfordert. Ein IT-Team an jedem Zweigstellenstandort zu unterhalten ist teuer.
Sich entwickelnde Bedrohungen – Böswillige Akteure finden weiterhin neue Wege, um die Geräte am Rande von Netzwerken anzugreifen. Edge-Geräte in Zweigstellen oder sogar in Heimbüros sind oft die anfälligsten Angriffspunkte.
Tipp
Anleitungen zur Verbesserung der Resilienz von Remotenetzwerken finden Sie unter Bewährte Methoden für die Ausfallsicherheit von Remotenetzwerken für globalen sicheren Zugriff.
Wie funktioniert die Remotenetzwerkkonnektivität von Global Secure Access?
Um ein Remotenetzwerk mit dem globalen sicheren Zugriff zu verbinden, richten Sie einen Internetprotokollsicherheitstunnel (Internet Protocol Security, IPsec) zwischen Ihrem lokalen Gerät und dem globalen Endpunkt für den sicheren Zugriff ein. Leiten Sie den von Ihnen angegebenen Datenverkehr über den IPsec-Tunnel an den nächstgelegenen Global Secure Access-Endpunkt weiter. Sie können Sicherheitsrichtlinien im Microsoft Entra admin center anwenden.
Die Remotenetzwerkkonnektivität von Global Secure Access bietet eine sichere Lösung zwischen einem Remotenetzwerk und dem Global Secure Access-Dienst. Sie bietet keine sichere Verbindung zwischen einem Remotenetzwerk und einem anderen. Weitere Informationen zur sicheren Remotenetzwerk-zu-Remote-Netzwerkkonnektivität finden Sie in der Dokumentation Azure Virtual WAN.
Unterstützte Datenverkehrsweiterleitungsprofile
Remotenetzwerke unterstützen verschiedene Weiterleitungsprofile für die Erfassung von Datenverkehr. Datenverkehrsweiterleitungsprofile steuern, welcher Datenverkehr über den globalen sicheren Zugriff weitergeleitet wird. Sicherheitsprofile, z. B. das Basisprofil, steuern, welche Richtlinien auf diesen erworbenen Datenverkehr angewendet werden.
| Datenverkehrsweiterleitungsprofil | Client für den globalen sicheren Zugriff | Fernnetzwerk |
|---|---|---|
| Microsoft-Netzwerkverkehr | ✅ Unterstützt | ✅ Unterstützt |
| Internetzugang | ✅ Unterstützt | ✅ Unterstützt |
| Privater Zugriff | ✅ Unterstützt | ❌ Nicht unterstützt |
Von Bedeutung
Sie können Microsoft-Datenverkehr und Internetzugriff Datenverkehrsweiterleitungsprofile Remote-Netzwerken zuweisen. Für das Datenverkehrsweiterleitungsprofil für den privaten Zugriff muss der globale Secure Access-Client auf Endbenutzergeräten installiert sein. Weitere Informationen finden Sie unter Zuweisen eines Datenverkehrsprofils zu einem Remotenetzwerk und Grundlegendes zu Datenverkehrsweiterleitungsprofilen.
Nachdem Sie Datenverkehr über ein Weiterleitungsprofil erfasst haben, wenden Sie Sicherheitsrichtlinien mithilfe von Sicherheitsprofilen darauf an. Das grundlegende Sicherheitsprofil erzwingt Richtlinien auf Mandantenebene für den gesamten Datenverkehr, der über den globalen sicheren Zugriff geleitet wird, einschließlich Remotenetzwerkdatenverkehr. Benutzerfähige Sicherheitsprofile, die mit Richtlinien für bedingten Zugriff verknüpft sind, erfordern den globalen Client für den sicheren Zugriff.
Durchsetzung von Datenverkehrsprofilen bei Verbindungen zu entfernten Netzwerkgeräten
Der globale sichere Zugriff erzwingt Datenverkehrsweiterleitungsprofile für alle Geräteverbindungen, z. B. IPsec-Tunnel, die einem Remotenetzwerk zugeordnet sind. Es leitet nur Datenverkehrstypen weiter, die einem aktivierten und zugeordneten Datenverkehrsweiterleitungsprofil entsprechen. Das globale Gateway für den sicheren Zugriff legt den gesamten anderen Datenverkehr ab.
Diese Durchsetzung bedeutet:
- Wenn Sie nur das Microsoft-Datenverkehrsprofil einem Remotenetzwerk zuordnen, verwirft das globale Gateway für sicheren Zugriff jeglichen nicht-Microsoft-Datenverkehr (z. B. allgemeiner Internetdatenverkehr), der über die Geräteverbindung gesendet wird.
- Wenn Sie nur das Internet Access-Datenverkehrsprofil einem Remotenetzwerk zuordnen, verwirft das Gateway für globale sichere Zugriffe jeglichen Microsoft-Datenverkehr, der über die Geräteverbindung gesendet wird.
Von Bedeutung
Um unbeabsichtigten Datenverkehrsverlust zu vermeiden, ordnen Sie beide sowohl das Microsoft-Datenverkehrsprofil als auch das Internet Access-Datenverkehrsprofil Ihrem Remotenetzwerk zu, wenn Ihre Lizenz es zulässt. Diese Konfiguration stellt sicher, dass das entsprechende Profil den gesamten Datenverkehr verarbeitet, der über den IPsec-Tunnel weitergeleitet wird, anstatt ihn im Hintergrund am Gateway abzuziehen.
Ausführliche Informationen zu verfügbaren Datenverkehrsweiterleitungsprofilen und deren Konfiguration finden Sie unter Global Secure Access Traffic Forwarding Profile.
Warum ist die Remotenetzwerkkonnektivität für Sie wichtig?
Das Verwalten der Sicherheit eines Unternehmensnetzwerks wird in einer Welt mit Remotearbeit und verteilten Teams immer schwieriger. Security Service Edge (SSE) verspricht eine Welt der Sicherheit, in der Kunden von überall auf der Welt auf ihre Unternehmensressourcen zugreifen können, ohne ihren Datenverkehr in den Hauptsitz zurückhalten zu müssen.
Gängige Szenarien für Remotenetzwerkkonnektivität
Ich möchte Clients nicht auf Tausenden von Geräten lokal installieren.
Im Allgemeinen erzwingen Sie SSE, indem Sie den Client auf einem Gerät installieren. Der Client erstellt einen Tunnel zum nächstgelegenen SSE-Endpunkt und routet den gesamten Internetdatenverkehr über diesen. SSE-Lösungen überprüfen den Datenverkehr und setzen Sicherheitsrichtlinien durch. Wenn Ihre Benutzer nicht mobil sind und an einem physischen Zweigstellenstandort basieren, entfernt die Remotenetzwerkkonnektivität für diesen Zweigstellenstandort den Schmerz der Installation des Clients auf jedem Gerät. Sie können den gesamten Zweigstellenstandort verbinden, indem Sie einen IPSec-Tunnel zwischen dem Kernrouter der Zweigstelle und dem Global Secure Access-Endpunkt erstellen.
Ich kann nicht auf allen Geräten, die meiner Organisation gehören, Clients installieren.
Manchmal können Sie den Client nicht auf allen Geräten installieren. Global Secure Access bietet derzeit Clients für Windows, macOS, Android und iOS. Aber was ist mit Linux, Großrechnern, Kameras, Druckern und anderen Arten von Geräten, die lokal sind und Datenverkehr an das Internet senden? Sie müssen diesen Datenverkehr weiterhin überwachen und sichern. Wenn Sie eine Verbindung zu einem Remotenetzwerk herstellen, können Sie Richtlinien für den gesamten Datenverkehr von diesem Standort aus festlegen, unabhängig von dem Gerät, von dem er ausgeht.
In meinem Netzwerk gibt es Gäste, die den Client nicht installiert haben.
Auf Gastgeräten in Ihrem Netzwerk ist der Client möglicherweise nicht installiert. Um sicherzustellen, dass diese Geräte Ihren Netzwerksicherheitsrichtlinien entsprechen, müssen Sie ihren Datenverkehr über den Global Secure Access-Endpunkt routen. Die Remotenetzwerkkonnektivität löst dieses Problem. Sie müssen den Client nicht auf Gastgeräten installieren. Der gesamte ausgehende Datenverkehr aus dem Remotenetzwerk durchläuft standardmäßig die Sicherheitsbewertung.
Was ist die Bandbreitenzuweisung für jeden Mandanten?
Die Anzahl der lizenzen, die Sie kaufen, bestimmt Ihre gesamte Bandbreitenzuteilung. Jede Microsoft Entra ID P1-Lizenz, Microsoft Entra Internet Access Lizenz und Microsoft Entra Suite Lizenz wird zu Ihrer Gesamtbandbreite hinzugefügt. Sie können IPsec-Tunneln Bandbreite für Remotenetzwerke in Schritten von 250 Mbps, 500 Mbps, 750 Mbps oder 1.000 MBit/s zuweisen. Diese Flexibilität bedeutet, dass Sie je nach Ihren spezifischen Anforderungen Bandbreite an verschiedenen Remotenetzwerkstandorten zuordnen können. Um eine optimale Leistung zu erzielen, empfiehlt Microsoft, mindestens zwei IPsec-Tunnel pro Standort für hohe Verfügbarkeit zu konfigurieren. Die folgende Tabelle zeigt die gesamte Bandbreite basierend auf der Anzahl der erworbenen Lizenzen.
Anfängliche Bandbreitenzuweisung
| Anzahl der Lizenzen | Gesamtbandbreite (Mbps) |
|---|---|
| 50 – 99 | 500 MBit/s |
| 100 – 499 | 1.000 MBit/s |
| 500 – 999 | 2.000 MBit/s |
| 1,000 – 1,499 | 3.500 MBit/s |
| 1,500 – 1,999 | 4.000 MBit/s |
| 2,000 – 2,499 | 4.500 MBit/s |
| 2,500 – 2,999 | 5.000 MBit/s |
| 3,000 – 3,499 | 5.500 MBit/s |
| 3,500 – 3,999 | 6.000 MBit/s |
| 4,000 – 4,499 | 6.500 MBit/s |
| 4,500 – 4,999 | 7.000 MBit/s |
| 5,000 – 5,499 | 10.000 MBit/s |
| 5,500 – 5,999 | 10.500 Mb/s |
| 6,000 – 6,499 | 11.000 MBit/s |
| 6,500 – 6,999 | 11.500 MBit/s |
| 7,000 – 7,499 | 12.000 MBit/s |
| 7,500 – 7,999 | 12.500 Mbit/s |
| 8,000 – 8,499 | 13.000 MBit/s |
| 8,500 – 8,999 | 13.500 Mbps |
| 9,000 – 9,499 | 14.000 MBit/s |
| 9,500 – 9,999 | 14.500 MBit/s |
| Über 10.000 | 35.000 Mbit/s + |
Anmerkungen zur Tabelle
- Sie benötigen mindestens 50 Lizenzen, um die Remotenetzwerkverbindungsfunktion zu verwenden.
- Die Anzahl der Lizenzen ist die Gesamtzahl der Lizenzen, die Sie kaufen (Microsoft Entra ID P1 + Microsoft Entra Internet Access / Microsoft Entra Suite). Nach 10.000 Lizenzen erhalten Sie zusätzliche 500 MBit/s für alle 500 Lizenzen, die Sie kaufen (z. B. 11.000 Lizenzen = 36.000 MBit/s).
- Organisationen, die über 10.000 Lizenzen hinausgehen, arbeiten häufig im Unternehmensmaßstab und benötigen eine robustere Infrastruktur. Der Sprung zu 35.000 MBit/s sorgt für ausreichend Kapazität, um die Anforderungen solcher Bereitstellungen zu erfüllen, höhere Datenverkehrsvolumen zu unterstützen und bietet die Flexibilität, Bandbreitenzuweisungen nach Bedarf zu erweitern.
- Wenn Sie mehr Bandbreite benötigen, können Sie jeweils zusätzliche Bandbreite in Schritten von 500 MBit/s über das SKU für Remote-Netzwerkbandbreite erwerben.
Beispiele für zugewiesene Bandbreite pro Mandant
Mandant 1:
- 1.000 Microsoft Entra ID P1-Lizenzen
- Zugewiesen: 1.000 Lizenzen, 3.500 MBit/s
Mandant 2:
- 3.000 Microsoft Entra ID P1-Lizenzen
- 3.000 Internetzugriffslizenzen
- Zugewiesen: 6.000 Lizenzen, 11.000 MBit/s
Mandant drei:
- 8.000 Microsoft Entra ID P1-Lizenzen
- 6.000 Microsoft Entra Suite Lizenzen
- Zugewiesen: 14.000 Lizenzen, 39.000 MBit/s
Beispiele für die Bandbreitenverteilung für Remotenetzwerke
Mandant 1:
Gesamtbandbreite: 3.500 MBit/s
Zuteilung:
- Standort A: 2 IPsec-Tunnel: 2 x 250 Mbps = 500 Mbps
- Standort B: 2 IPsec-Tunnel: 2 x 250 Mbps = 500 MBit/s
- Standort C: 2 IPsec-Tunnel: 2 x 500 MBit/s = 1.000 MBit/s
- Standort D: 2 IPsec-Tunnel: 2 x 750 MBit/s = 1.500 MBit/s
Verbleibende Bandbreite: Keine
Mandant 2:
Gesamtbandbreite: 11.000 MBit/s
Zuteilung:
- Standort A: 2 IPsec-Tunnel: 2 x 250 Mbps = 500 Mbps
- Standort B: 2 IPsec-Tunnel: 2 x 500 MBit/s = 1.000 MBit/s
- Standort C: 2 IPsec-Tunnel: 2 x 750 MBit/s = 1.500 MBit/s
- Standort D: 2 IPsec-Tunnel: 2 x 1.000 MBit/s = 2.000 MBit/s
- Standort E: 2 IPsec-Tunnel: 2 x 1.000 MBit/s = 2.000 MBit/s
Verbleibende Bandbreite: 4.000 MBit/s
Mandant 3:
Gesamtbandbreite: 39.000 MBit/s
Zuteilung:
- Standort A: 2 IPsec-Tunnel: 2 x 250 Mbps = 500 Mbps
- Standort B: 2 IPsec-Tunnel: 2 x 500 MBit/s = 1.000 MBit/s
- Standort C: 2 IPsec-Tunnel: 2 x 750 MBit/s = 1.500 MBit/s
- Standort D: 2 IPsec-Tunnel: 2 x 750 MBit/s = 1.500 MBit/s
- Standort E: 2 IPsec-Tunnel: 2 x 1.000 MBit/s = 2.000 MBit/s
- Standort F: 2 IPsec-Tunnel: 2 x 1.000 MBit/s = 2.000 MBit/s
- Standort G: 2 IPsec-Tunnel: 2 x 1.000 MBit/s = 2.000 MBit/s
Verbleibende Bandbreite: 28.500 MBit/s