Créer un réseau distant à l’aide des réseaux virtuels Azure

Pour bénéficier des fonctionnalités d’Accès Internet Microsoft Entra, les organisations pourraient installer le client Accès global sécurisé sur des appareils individuels ou étendre les fonctionnalités à des réseaux entiers. Cet article explique comment étendre ces fonctionnalités à un réseau virtuel Azure hébergé dans le cloud. Des principes similaires pourraient être appliqués à l’équipement réseau local d’un client.

Prérequis

Pour effectuer les étapes de ce processus, les prérequis suivants doivent être en place :

• Un abonnement Azure et l’autorisation de créer des ressources dans le Portail Azure.
• Compréhension des principes de base des connexions VPN de site à site.
• Un locataire Microsoft Entra auquel le rôle Administrateur Accès global sécurisé a été attribué.

Composants du réseau virtuel

La création de cette fonctionnalité dans Azure permet aux organisations de comprendre le fonctionnement d’Accès Internet Microsoft Entra dans une implémentation plus large. Les ressources que nous créons dans Azure correspondent aux concepts locaux comme suit :

Ressource Azure	Composant local classique
Réseau virtuel	Votre espace d’adressage IP local
Passerelle de réseau virtuel	Votre routeur local, parfois appelé « équipement local des clients » (CPE, Customer Premises Equipment)
Passerelle de réseau local	Passerelle Microsoft vers laquelle votre routeur (passerelle de réseau virtuel Azure) crée un tunnel IPsec
Connection	Tunnel VPN IPsec créé entre la passerelle de réseau virtuel et la passerelle de réseau local
Machine virtuelle	Appareils clients sur votre réseau local

Dans ce document, nous utilisons les valeurs par défaut suivantes. N’hésitez pas à configurer ces paramètres selon vos propres besoins.

• Abonnement : Visual Studio Enterprise
• Nom du groupe de ressources : Network_Simulation
• Région : USA Est

Étapes générales

Les étapes de simulation de la connectivité d’un réseau distant avec des réseaux virtuels Azure sont effectuées dans le portail Azure et le centre d’administration Microsoft Entra. Il peut être utile d’ouvrir plusieurs onglets pour pouvoir basculer facilement entre eux.

Avant de créer vos ressources virtuelles, vous avez besoin d’un groupe de ressources et d’un réseau virtuel pour les sections suivantes. Si vous avez déjà configuré un groupe de ressources et un réseau virtuel de test, vous pouvez commencer à l’étape 3.

1. Créer un groupe de ressources (portail Azure)
2. Créer un réseau virtuel (portail Azure)
3. Créer une passerelle de réseau virtuel (portail Azure)
4. Créer un réseau distant avec des liens d’appareil (centre d’administration Microsoft Entra)
5. Créer une passerelle de réseau local (portail Azure)
6. Créer une connexion VPN site à site (S2S) (portail Azure)
7. Vérifier la connectivité (les deux)

Créer un groupe de ressources

Créez un groupe de ressources qui contiendra toutes les ressources nécessaires.

1. Connectez-vous au Portail Azure avec l’autorisation de créer des ressources.
2. Accédez à Groupes de ressources.
3. Sélectionnez Créer.
4. Sélectionnez votre Abonnement et votre Région, puis attribuez un nom à votre Groupe de ressources.
5. Sélectionnez Revoir + créer.
6. Confirmez vos détails, puis sélectionnez Créer.

Créez un réseau virtuel

Créez un réseau virtuel à l’intérieur de votre nouveau groupe de ressources.

1. À partir du portail Azure, accédez à Réseaux virtuels.
2. Sélectionnez Créer.
3. Sélectionnez le Groupe de ressources que vous venez de créer.
4. Donnez un Nom de réseau virtuel à votre réseau.
5. Conservez les valeurs par défaut des autres champs.
6. Sélectionnez Revoir + créer.
7. Sélectionnez Créer.

Créer une passerelle de réseau virtuel

Créez une passerelle de réseau virtuel à l’intérieur de votre nouveau groupe de ressources.

1. À partir du portail Azure, accédez à Passerelles de réseau virtuel.

2. Sélectionnez Créer.

3. Donnez un Nom à votre passerelle de réseau virtuel et sélectionnez la région appropriée.

4. Sélectionnez le Réseau virtuel créé dans la section précédente.

   

5. Créez une Adresse IP publique et donnez-lui un nom descriptif.

   • FACULTATIF : si vous souhaitez un tunnel IPsec secondaire, sous la section DEUXIÈME ADRESSE IP PUBLIQUE, créez une autre adresse IP publique et donnez-lui un nom. Si vous créez un second tunnel IPsec, vous devez créer deux liens d’appareil à l’étape Créer un réseau distant.
   • Définissez Activer le mode actif/actif sur Désactivé si vous n’avez pas besoin d’une deuxième adresse IP publique.
   • L’exemple de cet article utilise un unique tunnel IPsec.

6. Sélectionnez une Zone de disponibilité.

7. Définissez Configurer BGP sur Activé.

8. Définissez le Numéro de système autonome (ASN) sur une valeur appropriée. Consultez la liste de valeurs ASN valides pour les valeurs réservées non utilisables.

   

9. Pour tous les autres paramètres, conservez les valeurs par défaut ou laissez-les vides.

10. Sélectionnez Vérifier + créer et confirmez vos paramètres.

11. Sélectionnez Créer.

Remarque

Le déploiement et la création de la passerelle de réseau virtuel peuvent prendre plusieurs minutes. Vous pouvez démarrer la section suivante pendant sa création, mais vous aurez besoin des adresses IP publiques de votre passerelle de réseau virtuel pour effectuer l’étape suivante.

Vous trouverez ces adresses IP en accédant à la page Configuration de votre passerelle de réseau virtuel une fois celle-ci créée.

Créer un réseau distant

Vous devez finaliser le processus de création d’un réseau distant dans le centre d’administration Microsoft Entra. Deux ensembles d’onglets permettent d’entrer les informations.

Les étapes suivantes fournissent les informations de base nécessaires pour créer un réseau distant avec Accès global sécurisé. Ce processus est traité plus en détail dans deux articles distincts. Étant donné que plusieurs détails peuvent facilement prêter à confusion, passez en revue les articles suivants pour obtenir plus d’informations :

• Guide pratique pour créer un réseau distant
• Comment gérer des liens d’appareil pour des réseaux distants

Redondance de zone

Avant de créer votre réseau distant pour Accès global sécurisé, prenez un moment pour passer en revue les deux options relatives à la redondance. Vous pouvez créer des réseaux distants avec ou sans redondance. Vous pouvez ajouter une redondance de deux façons :

• Choisissez Redondance de zone lors de la création d’un lien d’appareil dans le centre d’administration Microsoft Entra.
  • Dans ce scénario, nous créons une autre passerelle pour vous dans une zone de disponibilité différente dans la même Région de centre de données que celle que vous avez choisie lors de la création de votre réseau distant.
  • Dans ce scénario, vous avez besoin d’une seule adresse IP publique sur votre passerelle de réseau virtuel.
  • Deux tunnels IPsec sont créés à partir de la même adresse IP publique de votre routeur vers différentes passerelles Microsoft dans différentes zones de disponibilité.
• Créez une adresse IP publique secondaire dans le portail Azure et créez deux liens d’appareil avec des adresses IP publiques différentes dans le centre d’administration Microsoft Entra.
  • Vous pouvez alors choisir Aucune redondance lors de l’ajout de liens d’appareil à votre réseau distant dans le centre d’administration Microsoft Entra.
  • Dans ce scénario, vous avez besoin d’adresses IP publiques primaires et secondaires sur votre passerelle de réseau virtuel.

Créer le réseau distant et ajouter des liens d’appareil

Dans cet article, nous choisissons la redondance de zone.

Conseil

L’adresse BGP locale doit être une adresse IP privée qui se trouve hors de l’espace d’adressage du réseau virtuel associé à votre passerelle de réseau virtuel. Par exemple, si l’espace d’adressage de votre réseau virtuel est 10.1.0.0/16, vous pouvez utiliser 10.2.0.0 comme adresse BGP locale.

Consultez la liste d’adresses BGP valides pour les valeurs réservées qui ne peuvent pas être utilisées.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur Global Secure Access.

2. Accédez à Accès global sécurisé (préversion)>Connecter>Réseaux distants.

3. Sélectionnez le bouton Créer un réseau distant et indiquez les détails suivants sous l’onglet Informations de base :

   • Nom
   • Région

   

4. Sur l’onglet Connectivité, sélectionnez Ajouter un lien.

5. Sous l’onglet Ajouter un lien – Général, entrez les détails suivants :

   • Nom du lien : nom de votre lien d’appareil.
   • Type d’appareil : défini sur Autre.
   • Adresse IP : adresse IP publique de votre passerelle de réseau virtuel.
   • Adresse BGP locale : adresse IP privée qui se trouve en dehors de l’espace d’adressage du réseau virtuel associé à votre passerelle de réseau virtuel.
     • Par exemple, si l’espace d’adressage de votre réseau virtuel est 10.1.0.0/16, vous pouvez utiliser 10.2.0.0 comme adresse BGP locale.
     • Consultez la liste de adresses BGP valides pour les valeurs réservées non utilisables.
   • Adresse BGP de l’homologue : adresse IP BGP de votre passerelle de réseau virtuel.
   • ASN de lien : ASN de votre passerelle de réseau virtuel. Consultez la liste de valeurs ASN valides pour les valeurs réservées non utilisables.
   • Redondance : définie sur Redondance de zone.
   • Adresse BGP locale à redondance de zone : adresse IP privée qui se trouve en dehors de l’espace d’adressage du réseau virtuel associé à votre passerelle de réseau virtuel. Cette adresse doit être différente de l’Adresse BGP locale.
   • Capacité de bande passante (Mbits/s) : spécifiez la bande passante du tunnel. Les options disponibles sont 250, 500, 750 et 1 000 Mbits/s.

   

6. Sous l’onglet Ajouter un lien – Détails, conservez les valeurs par défaut, sauf si vous avez effectué une autre sélection précédemment, puis sélectionnez le bouton Suivant.

7. Sous l’onglet Ajouter un lien – Sécurité, entrez la clé prépartagée (PSK) et sélectionnez le bouton Enregistrer. Vous revenez à l’ensemble d’onglets principal Créer un réseau distant.

8. Sous l’onglet Profils de trafic, sélectionnez le profil de transfert de trafic approprié.

9. Sélectionnez le bouton Vérifier + Créer.

10. Si tout vous semble correct, sélectionnez le bouton Créer le réseau distant.

Afficher la configuration de la connectivité

Après avoir créé un réseau distant et ajouté un lien d’appareil, vous pouvez voir les détails de la configuration dans le centre d’administration Microsoft Entra. Plusieurs détails de cette configuration vous seront nécessaires pour effectuer l’étape suivante.

1. Accédez à Accès global sécurisé (préversion)>Connecter>Réseaux distants.

2. Dans la dernière colonne à droite de la table, sélectionnez Afficher la configuration pour le réseau distant que vous avez créé. La configuration est affichée sous la forme d’un objet blob JSON.

3. Recherchez et enregistrez les adresses IP publiques endpoint, asn et bgpAddress de Microsoft dans le panneau qui s’ouvre.

   • Ces détails vous permettront de configurer votre connectivité à l’étape suivante.
   • Pour plus d’informations sur l’affichage de ces détails, consultez Configurer l’équipement local des clients.

   

Le diagramme suivant connecte les détails clés de ces détails de configuration à leur rôle de corrélation dans le réseau distant simulé. Une description textuelle du diagramme suit l’image.

Le centre du diagramme représente un groupe de ressources qui contient une machine virtuelle connectée à un réseau virtuel. Une passerelle de réseau virtuel se connecte ensuite à la passerelle de réseau local via une connexion VPN redondante de site à site.

Une capture d’écran des détails de connectivité comporte deux sections mises en surbrillance. La première section mise en surbrillance sous localConfigurations contient les détails de la passerelle d’accès sécurisé global, qui est votre passerelle de réseau local.

Passerelle de réseau local 1

• Adresse IP publiques/point de terminaison : 120.x.x.76
• ASN : 65476
• Adresse IP BGP/bgpAddress : 192.168.1.1

Passerelle de réseau local 2

• Adresse IP/point de terminaison publics: 4.x.x.193
• ASN : 65476
• Adresse IP BGP/bgpAddress : 192.168.1.2

La deuxième section mise en surbrillance sous peerConfiguration contient les détails de la passerelle de réseau virtuel, qui est votre équipement de routeur local.

Passerelle de réseau virtuel

• Adresse IP/point de terminaison publics : 20.x.x.1
• ASN : 65533
• Adresse IP BGP/bgpAddress : 10.1.1.1

Une autre légende pointe vers le réseau virtuel créé dans votre groupe de ressources. L’espace d’adressage pour le réseau virtuel est 10.2.0.0/16. L’adresse BGP locale et l’adresse BGP d’homologue ne peuvent pas se trouver dans le même espace d’adressage.

Créer une passerelle de réseau local

Cette étape est réalisée dans le portail Azure. Plusieurs détails de l’étape précédente sont nécessaires pour effectuer cette étape.

Si vous avez sélectionné Aucune redondance lors de la création de liens d’appareil dans le Centre d’administration Microsoft Entra, vous devez créer une seule passerelle de réseau local.

Si vous avez sélectionné Redondance de zone, vous devez créer deux passerelles de réseau local. Vous avez deux ensembles de endpoint, asn et bgpAddress dans localConfigurations pour les liens d’appareil. Ces informations sont fournies dans les détails fournis dans Afficher la configuration pour ce réseau distant dans le centre d’administration Microsoft Entra.

1. Depuis le portail Azure, accédez à Passerelles de réseau local.

2. Sélectionnez Créer.

3. Sélectionnez le Groupe de ressources créé précédemment.

4. Sélectionnez la région appropriée.

5. Attribuez un Nom à votre passerelle de réseau local.

6. Pour Point de terminaison, sélectionnez Adresse IP, puis indiquez l’adresse IP d’endpoint fournie dans le centre d’administration Microsoft Entra.

7. Sélectionnez Suivant : Avancé.

8. Définissez l’option Configurer BGP sur Oui.

9. Entrez l’ASN (Autonomous system number) depuis la section localConfigurations des détails de Afficher la configuration.

   • Consultez la section Passerelle de réseau local du graphique dans la section Afficher la configuration de la connectivité.

10. Entrez l’adresse IP de l’homologue BGP depuis la section localConfigurations des détails de Afficher la configuration.

    

11. Sélectionnez Vérifier + créer et confirmez vos paramètres.

12. Sélectionnez Créer.

Si vous avez utilisé la redondance de zone, répétez ces étapes pour créer une autre passerelle de réseau local avec le deuxième ensemble de valeurs.

Accédez à Configuration pour passer en revue les détails de votre passerelle de réseau local.

Créer une connexion VPN site à site (S2S)

Cette étape est réalisée dans le portail Azure. Si vous avez créé une deuxième passerelle, vous devez créer ici deux connexions : une pour votre passerelle primaire et une pour votre passerelle secondaire. Pour cette étape, conservez la valeur par défaut de tous les paramètres, sauf indication contraire.

1. À partir du portail Azure, accédez à Connexions.
2. Sélectionnez Créer.
3. Sélectionnez le Groupe de ressources créé précédemment.
4. Sous Type de connexion, sélectionnez Site à site (IPsec).
5. Attribuez un Nom à la connexion, puis sélectionnez la Région appropriée.
6. Sélectionnez Suivant : Paramètres.
7. Sélectionnez la Passerelle de réseau virtuel et la Passerelle de réseau local créées précédemment.
8. Entrez la même Clé partagée (PSK) que celle que vous avez entrée lors de la création du lien d’appareil à l’étape précédente.
9. Cochez la case Activer BGP.
10. Sélectionnez Vérifier + créer et confirmez vos paramètres.
11. Cliquez sur Créer.

Répétez ces étapes pour créer une autre connexion avec la deuxième passerelle de réseau local.

Vérifier la connectivité

Pour vérifier la connectivité, vous devez simuler le flux du trafic. Une méthode consiste à créer une machine virtuelle pour lancer le trafic.

Simuler le trafic avec une machine virtuelle

Cette étape crée une machine virtuelle et lance le trafic vers les services Microsoft 365. Conservez la valeur par défaut de tous les paramètres, sauf indication contraire.

1. À partir du portail Azure, accédez à Machines virtuelles.
2. Sélectionnez Créer>Machine virtuelle Azure.
3. Sélectionnez le Groupe de ressources créé précédemment.
4. Entrez un Nom de machine virtuelle.
5. Sélectionnez l’image à utiliser. Pour cet exemple, nous choisissons Windows 11 Pro, version 22H2 – x64 Gen2.
6. Sélectionnez Exécuter avec la remise Azure Spot pour ce test.
7. Entrez un Nom d’utilisateur et un Mot de passe pour votre machine virtuelle.
8. Confirmez que vous disposez d’une licence Windows 10/11 éligible avec des droits d’hébergement multilocataire en bas de la page.
9. Passez à l’onglet Réseau.
10. Sélectionnez le Réseau virtuel créé précédemment.
11. Passez à l’onglet Gestion.
12. Cochez la case Se connecter avec Microsoft Entra ID.
13. Sélectionnez Vérifier + créer et confirmez vos paramètres.
14. Cliquez sur Créer.

Vous pourriez choisir de verrouiller l’accès à distance au groupe de sécurité réseau à un réseau ou à une adresse IP spécifique.

Vérifier l’état de la connectivité

Une fois que vous avez terminé les étapes précédentes de création des réseaux distants et des connexions, l’établissement de la connexion pourrait prendre quelques minutes. À partir du portail Azure, vous pouvez vérifier que le tunnel VPN est connecté et que le peering BGP a réussi.

1. Dans le Portail Azure, accédez à la passerelle de réseau virtuel créée précédemment et sélectionnez Connexions.
2. Pour chaque connexion, l’État doit indiquer Connecté une fois la configuration appliquée et réussie.
3. Accédez aux Homologues BGP sous la section Supervision pour confirmer que le peering BGP a réussi. Recherchez les adresses des homologues fournies par Microsoft. Une fois la configuration appliquée et réussie, l’État doit indiquer Connecté.

Vous pouvez utiliser la machine virtuelle que vous avez créée pour vérifier que le trafic arrive aux emplacements Microsoft 365 comme SharePoint Online. L’accès aux ressources dans SharePoint ou Exchange Online doit générer du trafic sur votre passerelle de réseau virtuel. Pou voir ce trafic, accédez à Métriques sur la passerelle de réseau virtuel ou configurez la capture de paquets pour les passerelles VPN.

Conseil

Si vous utilisez cet article pour tester Accès Internet Microsoft Entra, nettoyez toutes les ressources Azure associées en supprimant le nouveau groupe de ressources quand vous aurez terminé.

Étapes suivantes

• Tutoriel : Créer une connexion VPN site à site dans le portail Azure