Creación de una red remota con acceso seguro global (versión preliminar)

Las redes remotas son ubicaciones remotas, como una sucursal, o redes que requieren conectividad a Internet. La configuración de redes remotas conecta a los usuarios en ubicaciones remotas a Acceso seguro global (versión preliminar). Una vez configurada una red remota, puede asignar un perfil de reenvío de tráfico para administrar el tráfico de red corporativo. El acceso seguro global proporciona conectividad de red remota para que pueda aplicar directivas de seguridad de red al tráfico saliente.

Hay varias maneras de conectar redes remotas al acceso seguro global. En pocas palabras, va a crear un túnel de seguridad de protocolo de Internet (IPSec) entre un enrutador principal, conocido como equipo local del cliente (CPE), en la red remota y el punto de conexión de acceso seguro global más cercano. Todo el tráfico enlazado a Internet se enruta a través del enrutador principal de la red remota para la evaluación de directivas de seguridad en la nube. La instalación de un cliente no es necesaria en dispositivos individuales.

En este artículo se explica cómo crear una red remota para el acceso seguro global (versión preliminar).

Requisitos previos

Para configurar redes remotas, debe:

• Un rol de Administrador de Acceso seguro global en Microsoft Entra ID.
• La versión preliminar requiere una licencia P1 de Microsoft Entra ID. Si es necesario, puede comprar licencias u obtener licencias de prueba.
• Para usar el perfil de reenvío de tráfico de Microsoft 365, se recomienda usar una licencia de Microsoft 365 E3.
• El equipo local del cliente (CPE) debe admitir los siguientes protocolos:
  • Protocolo de seguridad de Internet (IPSec)
  • Algoritmos GCMEAES128, GCMAES 192 o GCMAES256 para la negociación de la fase 2 del intercambio de claves de Internet (IKE)
  • Intercambio de claves por red versión 2 (IKEv2)
  • Protocolo de puerta de enlace de borde (BGP)
• Revise las configuraciones válidas para configurar redes remotas.
• La solución de conectividad de red remota usa configuración de VPN RouteBased con selectores de tráfico cualquiera a cualquiera (carácter comodín o 0.0.0.0/0). Asegúrese de que el CPE tenga establecido el selector de tráfico correcto.
• La solución de conectividad de red remota usa los modos de Respondedor. El CPE debe iniciar la conexión.

Limitaciones conocidas

• El número de redes remotas por inquilino está limitada a 10. El número de vínculos de dispositivo por red remota está limitado a cuatro.
• Se accede al tráfico de Microsoft 365 a través de la conectividad de red remota sin el cliente de acceso seguro global. Sin embargo, no se aplica la directiva de acceso condicional. Es decir, las directivas de acceso condicional para el tráfico global de Acceso seguro de Microsoft 365 solo se aplican cuando un usuario tiene el cliente de acceso seguro global.
• Debe usar el cliente de Acceso seguro global para Microsoft Entra Private Access. La conectividad de red remota solo admite Microsoft Entra Internet Access.

Pasos generales

Puede crear una red remota en el centro de administración de Microsoft Entra o a través de Microsoft Graph API.

En un nivel alto, hay cinco pasos para crear una red remota y configurar un túnel IPsec activo:

1. Aspectos básicos: escriba los detalles básicos, como el Nombre y la Región de la red remota. Region especifica dónde desea el otro extremo del túnel IPsec. El otro extremo del túnel es el router o CPE.

2. Conectividad: agregue un vínculo de dispositivo (o túnel IPsec) a la red remota. En este paso, escribirá los detalles del enrutador en el Centro de administración de Microsoft Entra, lo que indicará a Microsoft de dónde esperar que provengan las negociaciones de IKE.

3. Perfil de reenvío de tráfico: asocie un perfil de reenvío de tráfico a la red remota, lo que especifica qué tráfico adquirir a través del túnel IPsec. Usamos el enrutamiento dinámico a través de BGP.

4. Ver la configuración de conectividad de CPE: recupere los detalles del túnel IPsec del final del túnel de Microsoft. En el paso Conectividad, proporcionó los detalles del enrutador a Microsoft. En este paso, se recuperará el lado de Microsoft de la configuración de conectividad.

5. Configurar el CPE: tome la configuración de conectividad de Microsoft del paso anterior y escríbala en la consola de administración del enrutador o CPE. Este paso no está en el Centro de administración de Microsoft Entra.

Centro de administración de Microsoft Entra

Las redes remotas se configuran en tres pestañas. Debe completar cada pestaña en orden. Después de completar la pestaña, seleccione la pestaña siguiente en la parte superior de la página o seleccione el botón Siguiente en la parte inferior de la página.

Conceptos básicos

El primer paso es proporcionar el nombre y la ubicación de la red remota. Se requiere completar esta pestaña.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de Global Secure Access.

2. Vaya a acceso seguro global (versión preliminar)>Conectar>redes remotas.

3. Seleccione el botón Crear de red remota y proporcione los detalles.

   • Nombre
   • Región

   

Conectividad

La pestaña conectividad es donde se agregan los vínculos de dispositivo para la red remota. Puede agregar vínculos de dispositivo después de crear la red remota. Debe proporcionar el tipo de dispositivo, la dirección IP pública del CPE, la dirección del protocolo de puerta de enlace de borde (BGP) y el número de sistema autónomo (ASN) para cada vínculo de dispositivo.

Los detalles necesarios para completar esta pestaña pueden ser complejos, por lo que este proceso se trata en detalle en Cómo administrar vínculos de dispositivos de red remotos.

Perfiles de reenvío de tráfico

Puede asignar la red remota a un perfil de reenvío de tráfico al crear la red remota. También puede asignar la red remota más adelante. Para más información, consulte Perfiles de reenvío de tráfico.

1. Seleccione el botón Siguiente o seleccione la pestaña Perfiles de tráfico.
2. Seleccione el perfil de reenvío de tráfico adecuado.
3. Seleccione el botón Revisar y Crear.

La pestaña final del proceso es revisar toda la configuración que ha proporcionado. Revise los detalles proporcionados aquí y seleccione el botón Crear red remota.

Visualización de la configuración de conectividad de CPE

Todas las redes remotas aparecen en la página Red remota. Seleccione el vínculo Ver configuración de la columna Detalles de conectividad para ver los detalles de configuración.

Estos detalles contienen la información de conectividad del lado de Microsoft del canal de comunicación bidireccional que se usa para configurar el CPE.

Este proceso se trata en detalle en Cómo configurar el equipo local del cliente.

Configuración del CPE

Este paso se realiza en la consola de administración de su CPE, no en el centro de administración de Microsoft Entra.n Microsoft Entra centro de administración. Hasta completar este paso, el IPsec no está configurado. IPsec es una comunicación bidireccional. Las negociaciones de IKE se producen entre dos partes antes de que el túnel se configure correctamente. Por lo tanto, no se pierda este paso.

API de Microsoft Graph

Las redes remotas de acceso seguro global se pueden ver y administrar mediante Microsoft Graph en el punto de conexión/beta. La creación de una red remota y la asignación de un perfil de reenvío de tráfico son llamadas API independientes.

1. Inicie sesión en Probador de Graph.

2. Seleccione POST como método HTTP.

3. Seleccione BETA como versión AP.

4. Ejecute la consulta.

   POST https://graph.microsoft.com/beta/networkaccess/connectivity/branches 
   { 
       "name": "ContosoBranch", 
       "region": "East US", 
       "deviceLinks": [ 
       { 
           "name": "CPE Link 1", 
           "ipAddress": "20.125.118.219", 
           "deviceVendor": "Other", 
           "bgpConfiguration": { 
               "localIpAddress": "172.16.11.5",
               "peerIpAddress": "10.16.11.5", 
               "asn": 8888 
             },
           "redundancyConfiguration": {
               "redundancyTier": "noRedundancy",
               "zoneLocalIpAddress": "1.2.1.1"
           },
           "bandwidthCapacityInMbps": "mbps250"
           "tunnelConfiguration": { 
                 "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default", 
                 "preSharedKey": "Detective5OutgrowDiligence" 
             } 
       }] 
   }  
   

Asignar un perfil de reenvío de tráfico

La asociación de un perfil de reenvío de tráfico a la red remota mediante Microsoft Graph API es un proceso de dos pasos. En primer lugar, busque el identificador del perfil de tráfico. El identificador es diferente para todos los inquilinos. En segundo lugar, asocie el perfil de reenvío de tráfico a la red remota deseada.

1. Inicie sesión en Probador de Graph.
2. Seleccione PATCH como método HTTP en la lista desplegable.
3. Seleccione la versión API para beta.
4. Escriba la consulta.

   GET https://graph.microsoft.com/beta/networkaccess/forwardingprofiles 
   

5. Seleccione Ejecutar consulta.
6. Busque ID del perfil de reenvío de tráfico deseado.
7. Seleccione PATCH como método HTTP en la lista desplegable.
8. Escriba la consulta.

       PATCH https://graph.microsoft.com/beta/networkaccess/connectivity/branches/d2b05c5-1e2e-4f1d-ba5a-1a678382ef16/forwardingProfiles
       {
           "@odata.context": "#$delta",
           "value":
           [{
               "ID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
           }]
       }
   

Comprobación de las configuraciones de red remota

Hay algunas cosas que hay que tener en cuenta y comprobar al crear redes remotas. Es posible que tenga que volver a comprobar algunas opciones de configuración.

• Comprobar el perfil criptográfico de IKE: el perfil criptográfico (algoritmos de fase 1 y 2 de IKE) establecidos para un vínculo de dispositivo debe coincidir con lo que se establece en el CPE. Si ha elegido la directiva de IKE predeterminada, asegúrese de que el CPE está configurado con el perfil criptográfico especificado en el artículo referencia sobre Configuraciones de red remota.

• Verificar clave precompartida: compare la clave precompartida (PSK) que especificó al crear el vínculo del dispositivo en Microsoft Global Secure Access con la PSK que especificó en el CPE. Este detalle se agrega en la pestaña Seguridad durante el proceso Agregar un vínculo. Para obtener más información, consulte Cómo administrar vínculos de dispositivos de red remotos..

• Compruebe las direcciones IP de BGP locales y nodo del mismo nivel: la dirección IP pública y BGP que usa para configurar el CPE debe coincidir con lo que se usa al crear un vínculo de dispositivo en Microsoft Global Secure Access.

  • Consulte la lista de direcciones BGP válidas para obtener los valores reservados que no se pueden usar.
  • Las direcciones BGP locales y del mismo nivel se invierten entre el CPE y lo que se escribe en acceso seguro global.
    • CPE: dirección IP BGP local = IP1, dirección IP BGP del mismo nivel = IP2
    • Acceso seguro global: dirección IP BGP local = IP2, dirección IP BGP del mismo nivel = IP1
  • Elija una dirección IP para acceso seguro global que no se superponga con la red local.

• Compruebe ASN: el acceso seguro global usa BGP para anunciar rutas entre dos sistemas autónomos: su red y la de Microsoft. Estos sistemas autónomos deben tener números de sistema autónomos diferentes (ASN).

  • Consulte la lista de valores ASN válidos para obtener los valores reservados que no se pueden usar.
  • Al crear una red remota en el centro de administración de Microsoft Entra, use el ASN de la red.
  • Al configurar el CPE, use el ASN de Microsoft. Vaya a Acceso seguro global>Dispositivos>Redes remotas. Seleccione Vínculos y confirme el valor en la columna Vincular ASN.

• Compruebe la dirección IP pública: en un entorno de prueba o una configuración del laboratorio, la dirección IP pública de su CPE puede cambiar inesperadamente. Este cambio puede hacer que se produzca un error en la negociación de IKE aunque todo siga siendo el mismo.

  • Si se encuentra este escenario, complete los pasos siguientes:
    • Actualice la dirección IP pública en el perfil criptográfico de su CPE.
    • Vaya a Acceso global seguro global>Dispositivos> Redes remotas.
    • Seleccione la red remota adecuada, elimine el túnel antiguo y vuelva a crear un nuevo túnel con la dirección IP pública actualizada.

• Comprobar la dirección IP pública de Microsoft: al eliminar un vínculo de dispositivo o crear uno nuevo, puede obtener otro punto de conexión de IP pública de ese vínculo en Visualización de la configuración de esa red remota. Este cambio puede hacer que se produzca un error en la negociación de IKE. Si encuentra este escenario, actualice la dirección IP pública en el perfil criptográfico de su CPE.

• Comprobar la configuración de conectividad de BGP en el CPE: supongamos que crea un vínculo de dispositivo para una red remota. Microsoft proporciona la dirección IP pública (por ejemplo: PIP1) y la dirección BGP (por ejemplo: BGP1) de su puerta de enlace. Esta información de conectividad está disponible en localConfigurations en el blob de JSON que se ve al seleccionar Ver configuración para esa red remota. En el CPE, asegúrese de tener una ruta estática destinada a BGP1 enviada a través de la interfaz de túnel creada con PIP1. La ruta es necesaria para que CPE pueda aprender las rutas BGP que publicamos a través del túnel IPsec que ha creado con Microsoft.

• Comprobar reglas de firewall: permitir el puerto 500 y 4500 del Protocolo de datagrama de usuario (UDP) y el puerto 179 del Protocolo de control de transmisión (TCP) para el túnel IPsec y la conectividad BGP en el firewall.

• Reenvío de puertos: en algunas situaciones, el enrutador del proveedor de servicios de Internet (ISP) también es un dispositivo de traducción de direcciones de red (NAT). Una NAT convierte las direcciones IP privadas de los dispositivos domésticos en un dispositivo enrutable público de Internet.

  • Por lo general, un dispositivo NAT cambia la dirección IP y el puerto. Este cambio de puerto es la raíz del problema.
  • Para que los túneles IPsec funcionen, Global Secure Access usa el puerto 500. Este puerto es donde se produce la negociación de IKE.
  • Si el enrutador ISP cambia este puerto a otra cosa, el acceso seguro global no puede identificar este tráfico y se produce un error en la negociación.
  • Como resultado, se produce un error en la fase 1 de la negociación de IKE y no se establece el túnel.
  • Para corregir este error, complete el reenvío de puertos en el dispositivo, lo que indica al enrutador ISP que no cambie el puerto y reenvíe tal cual.

Términos de uso

El uso de las experiencias y características de las versiones preliminares de Microsoft Entra Private Access and Microsoft Entra Internet Access se rige por los términos y condiciones del servicio en línea en versión preliminar de los contratos en virtud de los cuales se obtuvieron los servicios. Las vistas previas pueden estar sujetas a compromisos de seguridad, cumplimiento y privacidad reducidos o diferentes, tal y como se explica con más detalle en las Condiciones universales de licencia de los servicios en línea y en el Anexo de protección de datos ("DPA") de los productos y servicios de Microsoft, así como en cualquier otro aviso proporcionado con la Versión preliminar.

Pasos siguientes

El siguiente paso para empezar a trabajar con Acceso a Internet de Microsoft Entra es establecer como destino el perfil de tráfico de Microsoft 365 con la directiva de acceso condicional.

Para más información sobre redes remotas, consulte los siguientes artículos:

• Enumeración de redes remotas
• Administrar redes remotas
• Obtenga información sobre cómo agregar vínculos a dispositivos de red remotos