Créer un réseau distant avec une stratégie IKE personnalisée pour Global Secure Access (préversion)

Un tunnel IPSec est une communication bidirectionnelle. Cet article décrit la procédure à suivre pour configurer le canal de communication dans le Centre d’administration Microsoft Entra et API Microsoft Graph. L’autre côté de la communication est configuré sur votre équipement local client (CPE).

Prérequis

Pour créer un réseau distant avec une stratégie de protocole IKE (Internet Key Exchange) personnalisée, vous devez disposer des éléments suivants :

• Un rôle Administrateur Global Secure Access dans Microsoft Entra ID.
• Réception des informations de connectivité à partir de l’intégration de Global Secure Access.
• La préversion nécessite une licence Microsoft Entra ID P1. Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’essai.

Procédure de création d’un réseau distant avec une stratégie IKE personnalisée

Si vous préférez ajouter des détails de stratégie IKE personnalisés à votre réseau distant, vous pouvez le faire lorsque vous ajoutez le lien de l’appareil à votre réseau distant. Vous pouvez effectuer cette étape dans le centre d’administration Microsoft Entra ou via l’API Microsoft Graph.

Centre d'administration Microsoft Entra

Pour créer un réseau distant avec une stratégie IKE personnalisée dans le centre d’administration Microsoft Entra :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur Global Secure Access.

2. Accédez à Global Secure Access (préversion)>Appareils>Réseau distant.

3. Sélectionnez le bouton Créer un réseau distant.

   

4. Indiquez un nom et une région pour votre réseau distant, puis sélectionnez le bouton Suivant.

5. Sélectionnez le bouton + Ajouter un lien pour ajouter les détails de connectivité de votre CPE.

   

Ajouter un lien – Onglet Général

Plusieurs détails doivent être entrés sous l’onglet Général. Soyez attentif aux adresses du BGP homologue et local. Les détails de l’homologue et du local sont inversés, en fonction de l’emplacement où la configuration est terminée.

1. Entrez les informations suivantes :
   • Nom du lien : nom de votre CPE.
   • Type d’appareil : choisissez une option d’appareil à partir de la liste déroulante.
   • Adresse IP : adresse IP publique de votre appareil.
   • Adresse du BGP homologue : entrez l’adresse IP du BGP de votre CPE.
     • Cette adresse est entrée en tant qu’adresse IP du BGP local sur le CPE.
   • Adresse du BGP local : entrez une adresse IP de BGP qui ne fait pas partie de votre réseau local où réside votre CPE.
     • Par exemple, si votre réseau local est 10.1.0.0/16, vous pouvez alors utiliser 10.2.0.4 comme adresse de BGP local.
     • Cette adresse est entrée en tant qu’adresse IP du BGP homologue sur le CPE.​ Adresse IP sur votre CPE.
     • Consultez la liste de adresses BGP valides pour les valeurs réservées non utilisables.
   • ASN de liaison : indiquez le numéro de système autonome (ASN) du CPE.
     • Une connexion compatible BGP entre deux passerelles réseau nécessite qu’elles disposent d’ASN différents.
   • Consultez la liste de valeurs ASN valides pour les valeurs réservées non utilisables.
   • Redondance : sélectionnez Aucune redondance ou Redondance de zone pour votre tunnel IPSec.
   • Adresse de BGP local redondant interzone ce champ facultatif s’affiche uniquement lorsque vous sélectionnez Redondance de zone.
     • Entrez une adresse IP de BGP qui ne fait pas partie de votre réseau local où réside votre CPE et est différente de l’adresse de BGP local.
   • Capacité de bande passante (Mbits/s) : spécifiez la bande passante du tunnel. Les options disponibles sont 250, 500, 750 et 1 000 Mbits/s.
2. Sélectionnez le bouton Suivant.

Ajouter un lien – Onglet Détails

Important

Vous devez spécifier une combinaison de Phase 1 et de Phase 2 sur votre CPE.

1. Le protocole IKEv2 est sélectionné par défaut. Actuellement, seul le protocole IKEv2 est pris en charge.

2. Remplacez la stratégie IPSec/IKE par Personnalisé.

3. Sélectionnez les détails de votre combinaison de Phase 1 pour Chiffrement, Intégrité IKEv2 et DHGroup.

   • La combinaison de détails que vous sélectionnez doit s’aligner avec les options disponibles répertoriées dans l’article de référence Configurations valides du réseau distant.

4. Sélectionnez les combinaisons de votre Phase 2 pour Chiffrement IPsec, Intégrité IPsec, Groupe PFS et Durée de vie de SA (en secondes).

   • La combinaison de détails que vous sélectionnez doit s’aligner avec les options disponibles répertoriées dans l’article de référence Configurations valides du réseau distant.

5. Que vous choisissiez Par défaut ou Personnalisé, la stratégie IPSec/IKE que vous spécifiez doit correspondre à la stratégie de chiffrement sur votre CPE.

6. Sélectionnez le bouton Suivant.

   

Ajouter un lien – Onglet Sécurité

1. Entrez la clé prépartagée (PSK). La même clé secrète doit être utilisée sur votre CPE.
2. Sélectionnez le bouton Enregistrer.

API Microsoft Graph

Les réseaux distants avec une stratégie IKE personnalisée peuvent être créés à l’aide de Microsoft Graph sur le point de terminaison /beta.

1. Connectez-vous à l’explorateur graphique.
2. Sélectionnez POST en tant que méthode HTTP dans la liste déroulante.
3. Définissez la version de l’API sur bêta.
4. Ajoutez la requête suivante, puis sélectionnez le bouton Exécuter la requête.

    POST https://graph.microsoft.com/beta/networkaccess/connectivity/branches
{
    "name": "BranchOffice_CustomIKE",
    "region": "eastUS", 
    "deviceLinks": [
        {
            "name": "custom link",
            "ipAddress": "114.20.4.14",
            "deviceVendor": "ciscoMeraki",
            "tunnelConfiguration": {
                "saLifeTimeSeconds": 300,
                "ipSecEncryption": "gcmAes128",
                "ipSecIntegrity": "gcmAes128",
                "ikeEncryption": "aes128",
                "ikeIntegrity": "sha256",
                "dhGroup": "ecp384",
                "pfsGroup": "ecp384",
                "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Custom",
                "preSharedKey": "SHAREDKEY"
            },
            "bgpConfiguration": {
                "localIpAddress": "10.1.1.11",
                "peerIpAddress": "10.6.6.6",
                "asn": 65000
            },
            "redundancyConfiguration": {
                "redundancyTier": "zoneRedundancy",
                "zoneLocalIpAddress": "10.1.1.12"
            },
            "bandwidthCapacityInMbps": "mbps250"
        }
    ]
}

Conditions d'utilisation

Votre utilisation des expériences et fonctionnalités des préversions d'Accès privé Microsoft Entra et d'Accès internet Microsoft Entra est régie par les conditions générales du service en ligne en préversion des contrats en vertu desquels vous avez obtenu les services. Les préversions peuvent être soumises à des engagements de sécurité, de conformité et de confidentialité réduits ou différents, comme expliqué plus en détail dans les Termes du contrat de licence universel pour les services en ligne et l'Addendum sur la protection des données des produits et services Microsoft (« DPA ») et dans tout autre avis fourni avec la préversion.

Étapes suivantes

• Comment gérer des réseaux distants
• Comment gérer des liens d’appareil pour des réseaux distants