Ajouter et supprimer des liens d’appareil de réseaux distants

Les équipements locaux des clients, tels que les routeurs, sont ajoutés au réseau distant. Vous pouvez créer des liens d’appareil lorsque vous créez un réseau distant ou les ajouter après la création du réseau distant. Cet article explique comment ajouter et supprimer des liens d’appareil pour les réseaux distants pour l’accès sécurisé global (Global Secure Access).

Prérequis

Pour configurer des réseaux distants, vous devez avoir :

• Un rôle Administrateur Global Secure Access dans Microsoft Entra ID.
• Créé un réseau distant.
• La préversion nécessite une licence Microsoft Entra ID P1. Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’essai.

Ajouter un lien de l’appareil

Vous pouvez ajouter un lien vers un appareil à partir du centre d’administration Microsoft Entra ou via l’API Microsoft Graph.

Centre d'administration Microsoft Entra

Vous pouvez ajouter un lien d’appareil à un réseau distant à tout moment.

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur d’accès sécurisé global (Global Secure Access).

2. Accédez à Global Secure Access (préversion)>Appareils>Réseau distant.

3. Sélectionnez un réseau distant dans la liste.

   

4. Sélectionnez Liens dans le menu.

5. Sélectionnez le bouton + Ajouter un lien.

   

Ajouter un lien – Onglet Général

Plusieurs détails doivent être entrés sous l’onglet Général. Portez une attention particulière à l’adresse homologue et à l’adresse locale du BGP (Border Gateway Protocol). Les détails de l’homologue et du local sont inversés, en fonction de l’emplacement où la configuration est terminée.

1. Saisissez les informations suivantes.
   • Nom du lien : nom de l’ équipement local du client (CPE, Customer Premises Equipment).
   • Type d’appareil : choisissez une option d’appareil à partir de la liste déroulante.
   • Adresse IP : adresse IP publique de votre appareil.
   • Adresse du BGP homologue : entrez l’adresse IP du BGP de votre CPE.
     • Cette adresse est entrée en tant qu’adresse IP du BGP local sur le CPE.
   • Adresse du BGP local : entrez une adresse IP de BGP qui ne fait pas partie du réseau local où réside votre CPE.
     • Par exemple, si votre réseau local est 10.1.0.0/16, vous pouvez alors utiliser 10.2.0.4 comme adresse de BGP local.
     • Cette adresse est entrée en tant qu’adresse IP du BGP homologue sur le CPE.​ Adresse IP sur votre CPE.
   • ASN de liaison : indiquez le numéro de système autonome (ASN) du CPE.
     • Une connexion compatible BGP entre deux passerelles réseau nécessite qu’elles disposent de numéros de système autonomes (ASN, Autonomous System Number) différents.
     • Pour obtenir plus d’informations, consultez la section ASN valides de l’article Configurations de réseau distant.
   • Redondance : sélectionnez Aucune redondance ou Redondance de zone pour votre tunnel IPSec.
   • Adresse de BGP local redondant interzone ce champ facultatif s’affiche uniquement lorsque vous sélectionnez Redondance de zone.
     • Entrez une adresse IP BGP qui ne fait pas partie du réseau local où réside votre CPE et est différente de l’adresse BGP locale.
   • Capacité de bande passante (Mbits/s) : spécifiez la bande passante du tunnel. Les options disponibles sont 250, 500, 750 et 1,000 mégabits par seconde.
2. Sélectionnez le bouton Suivant.

Ajouter un lien – Onglet Détails

L’onglet Détails vous permet d’établir le canal de communication bidirectionnel entre Global Secure Access et votre CPE. Configurez votre stratégie IPSec/IKE, puis sélectionnez le bouton Suivant.

• Le protocole IKEv2 est sélectionné par défaut. Actuellement, seul IKEv2 est pris en charge.
• La stratégie IPSec/IKE est définie sur Par défaut, mais vous pouvez la modifier en Personnalisée.
• Si vous choisissez la stratégie IPSec/IKE personnalisée, commencez par passer en revue l’article Procédure de création d’un réseau distant avec une stratégie IKE (Internet Key Exchange) personnalisée.
• Si vous sélectionnez Personnalisée, vous devez utiliser une combinaison de paramètres pris en charge par l’accès sécurisé global (Global Secure Access). Les configurations valides que vous pouvez utiliser sont mappées dans l’article de référence Configurations réseau distant valides.
• Que vous choisissiez Par défaut ou Personnalisée, la stratégie IPSec/IKE que vous spécifiez doit correspondre à la stratégie que vous entrez sur votre CPE.

Ajouter un lien – Onglet Sécurité

1. Entrez la clé prépartagée (PSK). La même clé secrète doit être utilisée sur votre CPE.

2. Sélectionnez le bouton Enregistrer.

   

API Microsoft Graph

Les réseaux distants avec une stratégie IKE personnalisée peuvent être créés à l’aide de Microsoft Graph sur le point de terminaison /beta.

1. Connectez-vous à l’Afficheur Graph.

2. Sélectionnez POST en tant que méthode HTTP dans la liste déroulante.

3. Définissez la version de l’API sur bêta.

4. Exécutez la requête suivante pour obtenir une liste de vos réseaux distants et leurs détails.

   GET https://graph.microsoft.com/beta/networkaccess/connectivity/branches
   

5. Exécutez la requête suivante pour obtenir les détails du lien de l’appareil.

   POST https://graph.microsoft.com/beta/networkaccess/connectivity/branches/BRANCH_ID/deviceLinks
   

Exemple de réponse :

{
   "name": "CPE2",
   "ipAddress": "100.1.1.56",
    "BandwidthCapacityInMbps": "Mbps250",
    "bgpConfiguration": {
        "LocalIpAddress": "10.1.1.28",
        "PeerIpAddress": "10.1.1.28",
        "asn": 5555
    },
    "tunnelConfiguration": {
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default",
        "preSharedKey": "secret.ppk"
    },
    "redundancyConfiguration": {
    "redundancyTier": "zoneRedundancy",
    "zoneLocalIpAddress": "1.1.1.12"
    },
    "deviceVendor": "citrix"
}

Procédure pour supprimer des liens d’appareils

Vous pouvez supprimer des liens d’appareils dans le centre d’administration Microsoft Entra à l’aide de l’API Microsoft Graph.

Centre d'administration Microsoft Entra

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur Global Secure Access.

2. Accédez à Global Secure Access (préversion)>Appareils>Réseau distant. Les liens d’appareils apparaissent dans la colonne Liens dans la liste des réseaux distants.

3. Sélectionnez le lien d’appareil dans la colonne Liens pour accéder à la page des détails du lien de l’appareil.

4. Sélectionnez l’icône Supprimer pour le lien de l’appareil que vous devez supprimer. Une boîte de dialogue de confirmation s’affiche. Sélectionnez Supprimer pour confirmer la suppression.

   

API Microsoft Graph

1. Connectez-vous à l’explorateur graphique.

2. Sélectionnez DELETE en tant que méthode HTTP dans la liste déroulante.

3. Définissez la version de l’API sur bêta.

4. Entrez la requête suivante.

   DELETE https://graph.microsoft.com/beta/networkaccess/connectivity/branches/BRANCH_ID/deviceLinks/LINK_ID
   
   

Conditions d'utilisation

Votre utilisation des expériences et fonctionnalités des préversions d'Accès privé Microsoft Entra et d'Accès internet Microsoft Entra est régie par les conditions générales du service en ligne en préversion des contrats en vertu desquels vous avez obtenu les services. Les préversions peuvent être soumises à des engagements de sécurité, de conformité et de confidentialité réduits ou différents, comme expliqué plus en détail dans les Termes du contrat de licence universel pour les services en ligne et l’Addendum sur la protection des données des produits et services Microsoft (« DPA ») et dans tout autre avis fourni avec la préversion.