Távoli hálózat létrehozása globális biztonságos hozzáféréssel (előzetes verzió)

A távoli hálózatok távoli helyek, például fiókirodák vagy internetkapcsolatot igénylő hálózatok. A távoli hálózatok beállítása a távoli helyeken lévő felhasználókat a Globális biztonságos hozzáféréshez (előzetes verzió) csatlakoztatja. A távoli hálózat konfigurálása után hozzárendelhet egy forgalomátirányítási profilt a vállalati hálózati forgalom kezeléséhez. A globális biztonságos hozzáférés távoli hálózati kapcsolatot biztosít, így hálózati biztonsági szabályzatokat alkalmazhat a kimenő forgalomra.

A távoli hálózatokat többféleképpen is csatlakoztathatja a globális biztonságos hozzáféréshez. Dióhéjban egy IPSec-alagutat hoz létre egy mag útválasztó, más néven az ügyfél helyszíni berendezése (CPE) között a távoli hálózaton és a legközelebbi globális biztonságos hozzáférési végponton. Az internethez kötött összes forgalom a távoli hálózat fő útválasztón keresztül irányítja át a felhőbeli biztonsági szabályzatok kiértékelése céljából. Az ügyfél telepítése nem szükséges az egyes eszközökön.

Ez a cikk bemutatja, hogyan hozhat létre távoli hálózatot a Globális biztonságos hozzáféréshez (előzetes verzió).

Előfeltételek

A távoli hálózatok konfigurálásához az alábbiakra van szükség:

• Globális biztonságos hozzáférés Rendszergazda istrator szerepkör a Microsoft Entra ID-ban.
• Az előzetes verzióhoz Microsoft Entra ID P1-licenc szükséges. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.
• A Microsoft 365 adattovábbítási profil használatához microsoft 365 E3-licenc használata ajánlott.
• Az ügyfél helyszíni berendezéseinek (CPE) a következő protokollokat kell támogatniuk:
  • Internet Protocol Security (IPSec)
  • GCMEAES128, GCMAES 192 vagy GCMAES256 algoritmusok az Internet Key Exchange (IKE) 2. fázisának egyeztetéséhez
  • Internet key Exchange Version 2 (IKEv2)
  • Border Gateway Protocol (BGP)
• Tekintse át a távoli hálózatok beállításának érvényes konfigurációit.
• A távoli hálózati kapcsolati megoldás a RouteBased VPN-konfigurációt használja tetszőleges (helyettesítő vagy 0.0.0.0/0) forgalomválasztókkal. Győződjön meg arról, hogy a CPE rendelkezik a megfelelő forgalomválasztóval.
• A távoli hálózati kapcsolati megoldás Válasz módokat használ. A CPE-nek kezdeményeznie kell a kapcsolatot.

Ismert korlátozások

• A bérlőnkénti távoli hálózatok száma legfeljebb 10 lehet. Az eszközkapcsolatok száma távoli hálózatonként négyre korlátozódik.
• A Microsoft 365-forgalom távoli hálózati kapcsolaton keresztül érhető el a Global Secure Access-ügyfél nélkül. A feltételes hozzáférési szabályzat azonban nincs kényszerítve. Más szóval a Microsoft 365-forgalom feltételes hozzáférési szabályzatai csak akkor lesznek kikényszeríthetők, ha egy felhasználó rendelkezik globális biztonságos hozzáférési ügyfélprogrammal.
• A Global Secure Access-ügyfelet kell használnia a Microsoft Entra privát hozzáférés. A távoli hálózati kapcsolat csak a Microsoft Entra internet-hozzáférés támogatja.

Magas szintű lépések

Távoli hálózatot a Microsoft Entra felügyeleti központban vagy a Microsoft Graph API-n keresztül hozhat létre.

Magas szinten öt lépés áll rendelkezésre egy távoli hálózat létrehozásához és egy aktív IPsec-alagút konfigurálásához:

1. Alapismeretek: Adja meg az alapadatokat, például a távoli hálózat nevét és régióját . A régió megadja, hogy hol szeretné használni az IPsec-alagút másik végét. Az alagút másik vége az útválasztó vagy a CPE.

2. Csatlakozás tivitás: Eszközkapcsolat (vagy IPsec-alagút) hozzáadása a távoli hálózathoz. Ebben a lépésben meg kell adnia az útválasztó adatait a Microsoft Entra felügyeleti központban, amely tájékoztatja a Microsoftot arról, hogy honnan várják az IKE-tárgyalásokat.

3. Forgalomtovábbítási profil: Forgalomtovábbítási profil társítása a távoli hálózathoz, amely meghatározza, hogy milyen forgalmat kell beolvasni az IPsec-alagúton keresztül. Dinamikus útválasztást használunk a BGP-vel.

4. A CPE kapcsolati konfigurációjának megtekintése: Az IPsec-alagút adatainak lekérése a Microsoft alagútvégzésekor. A Csatlakozás ivity lépésben megadta az útválasztó adatait a Microsoftnak. Ebben a lépésben lekéri a Microsoft kapcsolati konfigurációjának oldalát.

5. A CPE beállítása: Vegye figyelembe a Microsoft előző lépésben megadott kapcsolati konfigurációját, és adja meg az útválasztó vagy a CPE felügyeleti konzolján. Ez a lépés nem a Microsoft Entra Felügyeleti központban található.

Microsoft Entra Felügyeleti központ

A távoli hálózatok három lapon vannak konfigurálva. Minden lapot sorrendben kell kitöltenie. A lap befejezése után vagy a lap tetején válassza a következő lapot, vagy kattintson a Lap alján található Tovább gombra.

Alapvető beállítások

Az első lépés a távoli hálózat nevének és helyének megadása. A lap kitöltése kötelező.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális biztonságos hozzáférésű Rendszergazda istratorként.

2. Keresse meg a Global Secure Access (előzetes verzió)> Csatlakozás> Hálózatok lapját.

3. Válassza a Távoli hálózat létrehozása gombot, és adja meg a részleteket.

   • Név
   • Régió

   

Kapcsolatok

A kapcsolat lapon adhatja hozzá a távoli hálózathoz tartozó eszközhivatkozásokat. A távoli hálózat létrehozása után hozzáadhat eszközhivatkozásokat. Minden eszközkapcsolathoz meg kell adnia az eszköz típusát, a CPE nyilvános IP-címét, a border gateway protocol (BGP) címet és az autonóm rendszerszámot (ASN).

A lap elvégzéséhez szükséges részletek összetettek lehetnek, ezért ezt a folyamatot a távoli hálózati eszközök kapcsolatainak kezelése című témakörben találja.

Forgalomtovábbítási profilok

A távoli hálózat létrehozásakor hozzárendelheti a távoli hálózatot egy forgalomtovábbítási profilhoz. A távoli hálózatot később is hozzárendelheti. További információ: Forgalomtovábbítási profilok.

1. Válassza a Tovább gombot, vagy válassza a Traffic profiles (Forgalmi profilok ) lapot.
2. Válassza ki a megfelelő forgalomátirányítási profilt.
3. Válassza a Véleményezés + Létrehozás gombot.

A folyamat utolsó lapja az összes megadott beállítás áttekintése. Tekintse át az itt megadott részleteket, és válassza a Távoli hálózat létrehozása gombot.

CPE-kapcsolat konfigurációjának megtekintése

Az összes távoli hálózat megjelenik a Távoli hálózat lapon. A konfiguráció részleteinek megtekintéséhez válassza a Konfiguráció megtekintése hivatkozást a Csatlakozás ivity details oszlopban.

Ezek a részletek a CpE beállításához használt kétirányú kommunikációs csatorna Microsoft általi kapcsolati adatait tartalmazzák.

Ez a folyamat részletesen bemutatja az ügyfél-helyszíni berendezések konfigurálását.

A CPE beállítása

Ez a lépés a CPE felügyeleti konzolján történik, nem a Microsoft Entra Felügyeleti központban. Amíg nem hajtja végre ezt a lépést, az IPsec nincs beállítva. Az IPsec kétirányú kommunikáció. Az IKE-tárgyalások két fél között az alagút sikeres beállítása előtt zajlanak. Szóval, ne hagyja ki ezt a lépést.

Microsoft Graph API

A globális biztonságos hozzáférésű távoli hálózatok a Microsoft Graph használatával tekinthetők meg és kezelhetők a /beta végponton. A távoli hálózat létrehozása és a forgalomtovábbítási profil hozzárendelése külön API-hívások.

1. Jelentkezzen be a Graph Explorerbe.

2. Válassza ki POST a metódust HTTP .

3. Válassza ki BETA verzióként.AP

4. Futtassa a lekérdezést.

   POST https://graph.microsoft.com/beta/networkaccess/connectivity/branches 
   { 
       "name": "ContosoBranch", 
       "region": "East US", 
       "deviceLinks": [ 
       { 
           "name": "CPE Link 1", 
           "ipAddress": "20.125.118.219", 
           "deviceVendor": "Other", 
           "bgpConfiguration": { 
               "localIpAddress": "172.16.11.5",
               "peerIpAddress": "10.16.11.5", 
               "asn": 8888 
             },
           "redundancyConfiguration": {
               "redundancyTier": "noRedundancy",
               "zoneLocalIpAddress": "1.2.1.1"
           },
           "bandwidthCapacityInMbps": "mbps250"
           "tunnelConfiguration": { 
                 "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default", 
                 "preSharedKey": "Detective5OutgrowDiligence" 
             } 
       }] 
   }  
   

Forgalomtovábbítási profil hozzárendelése

A forgalomtovábbítási profil társítása a távoli hálózathoz a Microsoft Graph API használatával két lépésből áll. Először keresse meg a forgalmi profil azonosítóját. Az azonosító minden bérlő esetében eltérő. Másodszor társítsa a forgalomtovábbítási profilt a kívánt távoli hálózathoz.

1. Jelentkezzen be a Graph Explorerbe.
2. Válassza ki PATCH a HTTP legördülő listából a metódust.
3. Válassza ki a API bétaverziót.
4. Adja meg a lekérdezést.

   GET https://graph.microsoft.com/beta/networkaccess/forwardingprofiles 
   

5. Válassza a Lekérdezés futtatása lehetőséget.
6. Keresse meg a ID kívánt forgalomátirányítási profilt.
7. Válassza ki PATCH a HTTP legördülő listából a metódust.
8. Adja meg a lekérdezést.

       PATCH https://graph.microsoft.com/beta/networkaccess/connectivity/branches/d2b05c5-1e2e-4f1d-ba5a-1a678382ef16/forwardingProfiles
       {
           "@odata.context": "#$delta",
           "value":
           [{
               "ID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
           }]
       }
   

A távoli hálózati konfigurációk ellenőrzése

A távoli hálózatok létrehozásakor figyelembe kell venni és ellenőrizni kell néhány dolgot. Előfordulhat, hogy bizonyos beállításokat duplán kell ellenőriznie.

• IKE-titkosítási profil ellenőrzése: Az eszközhivatkozáshoz beállított titkosítási profilnak (IKE 1. és 2. fázisú algoritmusoknak) meg kell egyeznie a CPE-n beállított adatoknak. Ha az alapértelmezett IKE-szabályzatot választotta, győződjön meg arról, hogy a CPE a távoli hálózati konfigurációk referenciacikkében megadott titkosítási profillal van beállítva.

• Az előmegosztott kulcs ellenőrzése: Hasonlítsa össze a Microsoft Global Secure Access eszközhivatkozásának létrehozásakor megadott előmegosztott kulcsot (PSK) a CPE-n megadott PSK-val. Ez a részlet a Hivatkozás hozzáadása folyamat során a Biztonság lapon jelenik meg. További információ: Távoli hálózati eszközök kapcsolatainak kezelése.

• Ellenőrizze a helyi és a társ BGP IP-címeit: A CPE konfigurálásához használt nyilvános IP-címnek és BGP-címnek meg kell egyeznie azzal, amit a Microsoft Global Secure Access eszközhivatkozásának létrehozásakor használ.

  • Tekintse meg a nem használható fenntartott értékek érvényes BGP-címlistáját .
  • A helyi és a társ BGP-címek fordítottak a CPE és a globális biztonságos hozzáférésben megadottak között.
    • CPE: Helyi BGP IP-cím = IP1, társ BGP IP-címe = IP2
    • Globális biztonságos hozzáférés: Helyi BGP IP-cím = IP2, társ BGP IP-címe = IP1
  • Olyan IP-címet válasszon a globális biztonságos hozzáféréshez, amely nem fedi egymást a helyszíni hálózattal.

• ASN ellenőrzése: A globális biztonságos hozzáférés BGP használatával hirdeti meg az útvonalakat két autonóm rendszer között: a hálózat és a Microsoft között. Ezeknek az autonóm rendszereknek különböző autonóm rendszerszámokkal (ASN-ekkel) kell rendelkezniük.

  • Tekintse meg a nem használható fenntartott értékek érvényes ASN-értéklistáját .
  • Ha távoli hálózatot hoz létre a Microsoft Entra felügyeleti központban, használja a hálózat ASN-jét.
  • A CPE konfigurálásakor használja a Microsoft ASN-jét. Lépjen a globális biztonságos hozzáférésű>eszközök>távoli hálózataihoz. Válassza a Hivatkozások lehetőséget, és erősítse meg az értéket a Hivatkozás ASN oszlopban.

• Ellenőrizze a nyilvános IP-címét: Tesztkörnyezetben vagy tesztkörnyezetben előfordulhat, hogy a CPE nyilvános IP-címe váratlanul megváltozik. Ez a módosítás az IKE-egyeztetés meghiúsulását okozhatja, annak ellenére, hogy minden ugyanaz marad.

  • Ha ezt a forgatókönyvet tapasztalja, hajtsa végre a következő lépéseket:
    • Frissítse a nyilvános IP-címet a CPE titkosítási profiljában.
    • Lépjen a globális biztonságos hozzáférésű>eszközök>távoli hálózataihoz.
    • Válassza ki a megfelelő távoli hálózatot, törölje a régi alagutat, és hozza létre újra az új alagutat a frissített nyilvános IP-címmel.

• Ellenőrizze a Microsoft nyilvános IP-címét: Ha töröl egy eszközhivatkozást, és/vagy újat hoz létre, előfordulhat, hogy a hivatkozás egy másik nyilvános IP-végpontja is megjelenik a távoli hálózat konfigurációjának megtekintése nézetben. Ez a módosítás az IKE-egyeztetés meghiúsulását okozhatja. Ha ezt a forgatókönyvet tapasztalja, frissítse a nyilvános IP-címet a CPE titkosítási profiljában.

• Ellenőrizze a BGP kapcsolati beállítását a CPE-n: Tegyük fel, hogy létrehoz egy eszközhivatkozást egy távoli hálózathoz. A Microsoft az átjáró nyilvános IP-címét( például PIP1) és BGP-címét (például BGP1) biztosítja. Ez a kapcsolati információ a távoli hálózat konfigurációjának megtekintése lehetőség kiválasztásakor látható jSON-blobban localConfigurations érhető el. A CPE-n győződjön meg arról, hogy a BGP1-nek küldött statikus útvonal a PIP1-sel létrehozott alagút-interfészen keresztül van elküldve. Az útvonalra azért van szükség, hogy a CPE megismerhesse a Microsofttal létrehozott IPsec-alagúton keresztül közzétett BGP-útvonalakat.

• Tűzfalszabályok ellenőrzése: Engedélyezze a User Datagram Protocol (UDP) 500-s és 4500-s portját, valamint az IPsec-alagúthoz és a BGP-kapcsolathoz tartozó 179-ös TCP-portot a tűzfalon.

• Porttovábbítás: Bizonyos esetekben az Internet Service Provider (ISP) útválasztó hálózati címfordító (NAT) eszköz is. A NAT az otthoni eszközök magánhálózati IP-címeit nyilvános, internetezhető eszközzé alakítja.

  • A NAT-eszközök általában az IP-címet és a portot is módosítják. Ez a portmódosítás a probléma gyökere.
  • Az IPsec-alagutak működéséhez a Global Secure Access az 500-os portot használja. Ezen a porton történik az IKE-egyeztetés.
  • Ha az internetszolgáltató útválasztója valami másra módosítja ezt a portot, a globális biztonságos hozzáférés nem tudja azonosítani ezt a forgalmat, és a tárgyalás meghiúsul.
  • Ennek eredményeképpen az IKE-tárgyalások 1. fázisa meghiúsul, és az alagút nem jön létre.
  • A hiba elhárításához végezze el a porttovábbítást az eszközön, amely arra utasítja az internetszolgáltató útválasztóját, hogy ne módosítsa a portot, és ne továbbítsa a portot.

Használati feltételek

A Microsoft Entra privát hozzáférés és Microsoft Entra internet-hozzáférés előzetes verziójú szolgáltatások és szolgáltatások használatára az előzetes verziójú online szolgáltatási feltételek vonatkoznak, amelyek alapján a szolgáltatásokat beszerezte. Az előzetes verziókra kisebb vagy eltérő biztonsági, megfelelőségi és adatvédelmi kötelezettségvállalások vonatkozhatnak, amint azt az online szolgáltatásokra vonatkozó általános licencfeltételek, valamint a Microsoft Termékek és szolgáltatások adatvédelmi bővítménye ("DPA") és az előzetes verzióval kapcsolatos egyéb közlemények is ismertetik.

Következő lépések

A Microsoft Entra internet-hozzáférés használatának első lépéseinek következő lépése a Microsoft 365 forgalmi profiljának megcélzása feltételes hozzáférési szabályzattal.

A távoli hálózatokkal kapcsolatos további információkért tekintse meg a következő cikkeket:

• Távoli hálózatok listázása
• Távoli hálózatok kezelése
• Megtudhatja, hogyan vehet fel távoli hálózati eszközhivatkozásokat