Ajouter et supprimer des liens d’appareil de réseaux distants

Les équipements locaux des clients, tels que les routeurs, sont ajoutés au réseau distant. Vous pouvez créer des liens d’appareil lorsque vous créez un réseau distant ou les ajouter après la création du réseau distant. Cet article explique comment ajouter et supprimer des liens d’appareil pour les réseaux distants pour l’accès sécurisé global (Global Secure Access).

Prérequis

Pour configurer des réseaux distants, vous devez avoir :

• Un rôle Administrateur Global Secure Access dans Microsoft Entra ID.
• Créé un réseau distant.
• Le produit nécessite une licence. Pour plus de détails, consultez la section sur les licences dans Qu’est-ce que l’Accès global sécurisé ?. Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’essai gratuit.

Ajouter un lien de l’appareil

Vous pouvez ajouter un lien vers un appareil à partir du centre d’administration Microsoft Entra ou via l’API Microsoft Graph.

Centre d'administration Microsoft Entra

Vous pouvez ajouter un lien d’appareil à un réseau distant à tout moment.

1. Accédez à Accès global sécurisé>Se connecter>Réseaux distants.

2. Sélectionnez un réseau distant dans la liste.

3. Sélectionnez Liens dans le menu.

4. Sélectionnez + Ajouter un lien.

Ajouter un lien – Onglet Général

Plusieurs détails doivent être entrés sous l’onglet Général. Portez une attention particulière à l’adresse homologue et à l’adresse locale du BGP (Border Gateway Protocol). Les détails de l’homologue et du local sont inversés, en fonction de l’emplacement où la configuration est terminée.

1. Saisissez les informations suivantes.
   • Nom du lien : nom de l’ équipement local du client (CPE, Customer Premises Equipment).
   • Type d’appareil : choisissez une option d’appareil à partir de la liste déroulante.
   • Adresse IP de l’appareil : Adresse IP publique de votre appareil.
   • Adresse BGP de l’appareil : Entrez l’adresse IP BGP de votre CPE.
     • Cette adresse est entrée en tant qu’adresse IP du BGP local sur le CPE.
   • ASN de l’appareil :Indiquez le numéro de système autonome (ASN) du CPE.
     • Une connexion compatible BGP entre deux passerelles réseau nécessite qu’elles disposent de numéros de système autonomes (ASN, Autonomous System Number) différents.
     • Pour obtenir plus d’informations, consultez la section ASN valides de l’article Configurations de réseau distant.
   • Redondance : sélectionnez Aucune redondance ou Redondance de zone pour votre tunnel IPSec.
   • Adresse de BGP local redondant interzone ce champ facultatif s’affiche uniquement lorsque vous sélectionnez Redondance de zone.
     • Entrez une adresse IP BGP qui ne fait pas partie du réseau local où réside votre CPE et est différente de l’adresse BGP locale.
   • Capacité de bande passante (Mbits/s) : spécifiez la bande passante du tunnel. Les options disponibles sont 250, 500, 750 et 1,000 mégabits par seconde.
   • Adresse du BGP local : entrez une adresse IP de BGP qui ne fait pas partie du réseau local où réside votre CPE.
     • Par exemple, si votre réseau local est 10.1.0.0/16, vous pouvez alors utiliser 10.2.0.4 comme adresse de BGP local.
     • Cette adresse est entrée en tant qu’adresse IP du BGP homologue sur le CPE.​ Adresse IP sur votre CPE.
     • Consultez la liste de adresses BGP valides pour les valeurs réservées non utilisables.
2. Cliquez sur Suivant.

Ajouter un lien – Onglet Détails

L’onglet Détails vous permet d’établir le canal de communication bidirectionnel entre Global Secure Access et votre CPE. Configurez votre stratégie IPSec/IKE, puis sélectionnez Suivant.

• Le protocole IKEv2 est sélectionné par défaut. Actuellement, seul IKEv2 est pris en charge.
• La stratégie IPSec/IKE est définie sur Par défaut, mais vous pouvez la modifier en Personnalisée.
• Si vous choisissez la stratégie IPSec/IKE personnalisée, commencez par passer en revue l’article Procédure de création d’un réseau distant avec une stratégie IKE (Internet Key Exchange) personnalisée.
• Si vous sélectionnez Personnalisée, vous devez utiliser une combinaison de paramètres pris en charge par l’accès sécurisé global (Global Secure Access). Les configurations valides que vous pouvez utiliser sont mappées dans l’article de référence Configurations réseau distant valides.
• Que vous choisissiez Par défaut ou Personnalisée, la stratégie IPSec/IKE que vous spécifiez doit correspondre à la stratégie que vous entrez sur votre CPE.

Ajouter un lien – Onglet Sécurité

1. Saisissez la clé prépartagée (PSK) et la clé prépartagée de redondance de zone (PSK). La même clé secrète doit être utilisée sur votre CPE correspondant. Notez que le champ Redondance de la zone Clé prépartagée (PSK) s’affiche uniquement si vous avez configuré la redondance sur la première page lors de la création du lien.
2. Sélectionnez le bouton Enregistrer.

API Microsoft Graph

Les réseaux distants avec une stratégie IKE personnalisée peuvent être créés à l’aide de Microsoft Graph sur le point de terminaison /beta.

1. Connectez-vous à l’explorateur graphique.

2. Sélectionnez POST en tant que méthode HTTP dans la liste déroulante.

3. Définissez la version de l’API sur bêta.

4. Exécutez la requête suivante pour obtenir une liste de vos réseaux distants et leurs détails.

   GET https://graph.microsoft.com/beta/networkaccess/connectivity/branches
   

5. Exécutez la requête suivante pour obtenir les détails du lien de l’appareil.

   POST https://graph.microsoft.com/beta/networkaccess/connectivity/branches/BRANCH_ID/deviceLinks
   

Exemple de réponse :

{
   "name": "CPE2",
   "ipAddress": "100.1.1.56",
    "BandwidthCapacityInMbps": "Mbps250",
    "bgpConfiguration": {
        "LocalIpAddress": "10.1.1.28",
        "PeerIpAddress": "10.1.1.28",
        "asn": 5555
    },
    "tunnelConfiguration": {
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default",
        "preSharedKey": "secret.ppk"
    },
    "redundancyConfiguration": {
    "redundancyTier": "zoneRedundancy",
    "zoneLocalIpAddress": "1.1.1.12"
    },
    "deviceVendor": "citrix"
}

Procédure pour supprimer des liens d’appareils

Vous pouvez supprimer des liens d’appareils dans le centre d’administration Microsoft Entra à l’aide de l’API Microsoft Graph.

Centre d'administration Microsoft Entra

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur Global Secure Access.

2. Accédez à Accès global sécurisé>Se connecter>Réseaux distants. Les liens d’appareils apparaissent dans la colonne Liens dans la liste des réseaux distants.

3. Sélectionnez le lien d’appareil dans la colonne Liens pour accéder à la page des détails du lien de l’appareil.

4. Sélectionnez Supprimer pour le lien d’appareil que vous souhaitez supprimer. Une boîte de dialogue de confirmation s’affiche. Sélectionnez Supprimer pour confirmer la suppression.

   

API Microsoft Graph

1. Connectez-vous à l’explorateur graphique.

2. Sélectionnez DELETE en tant que méthode HTTP dans la liste déroulante.

3. Définissez la version de l’API sur bêta.

4. Entrez la requête suivante.

   DELETE https://graph.microsoft.com/beta/networkaccess/connectivity/branches/BRANCH_ID/deviceLinks/LINK_ID