Condividi tramite

Simulare la connettività di rete remota usando Azure vWAN

  • Articolo

Questo articolo illustra come simulare la connettività di rete remota usando una rete vWAN (Virtual Wide Area Network) remota. Per simulare la connettività di rete remota usando un gateway di rete virtuale di Azure (VNG), vedere l'articolo Simulare la connettività di rete remota con Azure VNG.

Prerequisiti

Per completare le procedure descritte in questo articolo, sono necessari i prerequisiti seguenti:

Questo documento usa i valori di esempio seguenti, insieme ai valori nelle immagini e nei passaggi. È possibile configurare queste impostazioni in base ai propri requisiti.

  • Sottoscrizione: Visual Studio Enterprise
  • Nome gruppo di risorse: GlobalSecureAccess_Documentation
  • Area: Stati Uniti centro-meridionali

Passaggi di alto livello

I passaggi per creare una rete remota con vWAN di Azure richiedono l'accesso sia alla portale di Azure che all'interfaccia di amministrazione di Microsoft Entra. Per spostarsi facilmente tra loro, tenere aperto Azure e Microsoft Entra in schede separate. Poiché alcune risorse possono richiedere più di 30 minuti per la distribuzione, dedicare almeno due ore al completamento di questo processo. Promemoria: le risorse che rimangono in esecuzione possono costarti denaro. Al termine del test o alla fine di un progetto, è consigliabile rimuovere le risorse non più necessarie.

  1. Configurare una rete WAN virtuale nel portale di Azure
    1. Creare una rete WAN virtuale
    2. Creare un hub virtuale con un gateway VPN da sito a sitoL'hub virtuale richiede circa 30 minuti per la distribuzione.
    3. Ottenere informazioni sul gateway VPN
  2. Creare una rete remota nell’interfaccia di amministrazione di Microsoft Entra
  3. Creare un sito VPN usando il gateway Microsoft
    1. Creare un sito VPN
    2. Creare una connessione da sito a sitoLa connessione da sito a sito richiede circa 30 minuti per la distribuzione.
    3. Controllare la connettività del border gateway protocol e le rotte apprese nel portale Microsoft Azure
    4. Controllare la connettività nell’interfaccia di amministrazione di Microsoft Entra
  4. Configurare le funzionalità di sicurezza per i test
    1. Creare una rete virtuale
    2. Aggiungere una connessione alla rete virtuale al vWAN
    3. Creare un Desktopvirtuale AzureIl desktop virtuale Azure richiede circa 30 minuti per la distribuzione. Bastion richiede altri 30 minuti.
  5. Testare le funzionalità di sicurezza con Desktop virtuale Azure (AVD)
    1. Testare le restrizioni del tenant
    2. Testare il ripristino dell'IP di origine

Configurare una rete WAN virtuale nel portale di Azure

Esistono tre passaggi principali per configurare una rete WAN virtuale:

  1. Creare una rete WAN virtuale
  2. Creare un hub virtuale con un gateway VPN da sito a sito
  3. Ottenere informazioni sul gateway VPN

Creare una rete WAN virtuale

Creare una rete WAN virtuale per connettersi alle risorse in Azure. Per altre informazioni sulla rete WAN virtuale, vedere Informazioni generali sulla rete WAN virtuale.

  1. Nel portale di Microsoft Azure, nella barra Cerca risorse digitare Rete WAN virtuale nella casella di ricerca e selezionare INVIO.
  2. Selezionare Reti WAN virtuali nei risultati. Nella pagina Reti WAN virtuali, selezionare + Crea per aprire la pagina Crea rete WAN.
  3. Nella pagina Crea rete WAN compilare i campi nella scheda Informazioni di base. Modificare i valori di esempio per adattarli al tuo ambiente.
    • Sottoscrizione: selezionare la sottoscrizione da usare.
    • Gruppo di risorse: creare un nuovo gruppo o usarne uno esistente.
    • Località del gruppo di risorse: scegliere una località delle risorse dall'elenco a discesa. Una rete WAN è una risorsa globale che non risiede in un'area specifica. È tuttavia necessario selezionare un'area per gestire e individuare la risorsa WAN creata.
    • Nome: digitare il nome che si vuole usare per la rete WAN.
    • Tipo: Base o Standard. Selezionare Standard. Se si seleziona Basic, tenere presente che le reti WAN virtuali Basic possono contenere solo hub Basic. Gli hub Basic possono essere usati solo per le connessioni da sito a sito.
  4. Dopo aver compilato i campi, nella parte inferiore della pagina selezionare Rivedi e crea. Screenshot della pagina per creare una WAN con i campi completati.
  5. Dopo aver superato la convalida, selezionare il pulsante Crea.

Creare un hub virtuale con un gateway VPN

Creare quindi un hub virtuale con un gateway VPN (rete privata virtuale da sito a sito):

  1. Nella nuova rete WAN virtuale, in Connettività, selezionare Hub.
  2. Selezionare + Nuovo hub.
  3. Sulla pagina Crea hub virtuale, nella scheda Informazioni di base, compilare i campi in base all'ambiente.
    • Area: selezionare l'area in cui distribuire l'hub virtuale.
    • Nome: nome con cui deve essere noto l'hub virtuale.
    • Spazio indirizzi privato dell'hub: per questo esempio usare 10.101.0.0/24. Per creare un hub, l'intervallo di indirizzi deve essere nella notazione CIDR (Classless Inter-Domain Routing) e avere uno spazio indirizzi minimo di /24.
    • Capacità dell'hub virtuale: per questo esempio selezionare 2 unità di infrastruttura di routing, router a 3 Gbps, supporta 2000 macchine virtuali. Per altre informazioni, vedere Impostazioni dell'hub virtuale.
    • Preferenza di routing dell'hub: lasciare l'impostazione predefinita. Per altre informazioni, vedere Preferenza di routing dell’hub virtuale.
    • Selezionare Avanti: > da sito a sito. Screenshot della pagina Crea hub virtuale, nella scheda Basic, con i campi compilati.
  4. Nella scheda Da sito a sito compilare i campi seguenti:
    • Scegliere per creare un gateway VPN da sito a sito.
    • Numero AS: il campo Numero AS non può essere modificato.
    • Unità di scala gateway: per questo esempio selezionare 1 unità di scala - 500 Mbps x 2. Questo valore deve essere allineato alla velocità effettiva aggregata del gateway VPN creato nell'hub virtuale.
    • Preferenza di routing: per questo esempio selezionare Rete Microsoft per instradare il traffico tra Azure e Internet. Per altre informazioni sulle preferenze di routing tramite la rete Microsoft o Provider di servizi Internet (ISP), vedere l'articolo Preferenza di routing. Screenshot della pagina Crea hub virtuale con i campi completati, nella scheda Da sito a sito.
  5. Lasciare le opzioni della scheda rimanenti impostate sulle impostazioni predefinite e selezionare Rivedi e crea per convalidare.
  6. Selezionare Crea per creare l'hub e il gateway. Il processo potrebbe richiedere fino a 30 minuti.
  7. Dopo 30 minuti, selezionare Aggiorna per visualizzare l'hub nella pagina Hub e quindi selezionare Vai alla risorsa per passare alla risorsa.

Ottenere informazioni sul gateway VPN

Per creare una rete remota nell'interfaccia di amministrazione di Microsoft Entra, è necessario visualizzare e registrare le informazioni sul gateway VPN per l'hub virtuale creato nel passaggio precedente.

  1. Nella nuova rete WAN virtuale, in Connettività, selezionare Hub.
  2. Selezionare l’hub virtuale.
  3. Selezionare VPN (da sito a sito).
  4. Nella pagina Hub virtuale selezionare il collegamento Gateway VPN. Screenshot della pagina VPN (da sito a sito) con il collegamento Gateway VPN visibile.
  5. Nella pagina Gateway VPN selezionare Visualizzazione JSON.
  6. Copiare il testo JSON in un file per riferimento nei passaggi successivi. Prendere nota del numero di sistema autonomo (ASN), dell'indirizzo IP del dispositivo e dell'indirizzo BGP (Device Border Gateway Protocol) da usare nell'interfaccia di amministrazione di Microsoft Entra nel passaggio successivo. 
       "bgpSettings": {
        "asn": 65515,
        "peerWeight": 0,
        "bgpPeeringAddresses": [
            {
                "ipconfigurationId": "Instance0",
                "defaultBgpIpAddresses": [
                    "10.101.0.12"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.250",
                    "10.101.0.4"
                ]
            },
            {
                "ipconfigurationId": "Instance1",
                "defaultBgpIpAddresses": [
                    "10.101.0.13"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.251",
                    "10.101.0.5"
                ]
            }
        ]
    }

Suggerimento

Non è possibile modificare il valore ASN.

Creare una rete remota nell’Interfaccia di amministrazione di Microsoft Entra

In questo passaggio usare le informazioni di rete del gateway VPN per creare una rete remota nell'interfaccia di amministrazione di Microsoft Entra. Il primo passaggio consiste nello specificare il nome e la posizione della rete remota.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.
  2. Passare a Accesso globale sicuro>Connetti>Reti remote.
  3. Selezionare il pulsante Crea rete remota e specificare i dettagli.
    • Nome: per questo esempio, usare Azure_vWAN.
    • Area: per questo esempio selezionare Stati Uniti centro-meridionali.
  4. Selezionare Avanti: Connettività per passare alla scheda Connettività.Screenshot della pagina Crea una rete remota nella scheda Informazioni di base con il pulsante Avanti: Connettività evidenziato.
  5. Nella scheda Connettività, aggiungere i collegamenti di dispositivo per la rete remota. Creare un collegamento per l'istanza del gateway VPN Instance0 e un altro collegamento per l'istanza del gateway VPN Instance1:
    1. Selezionare + Aggiungi collegamento.
    2. Completare i campi nella scheda Generale nel modulo Aggiungi un collegamento usando la configurazione Istance0 del gateway VPN dalla visualizzazione JSON:

      • Nome collegamento: nome dell'attrezzatura locale del cliente (CPE). Per questo esempio, Instance0.

      • Nome dispositivo: scegliere un’opzione del dispositivo dall’elenco a discesa. Impostare su Altro.

      • Indirizzo IP dispositivo: indirizzo IP pubblico del dispositivo. Per questo esempio, usare 203.0.113.250.

      • Indirizzo BGP del dispositivo: immettere l'indirizzo IP BGP (Border Gateway Protocol) del CPE. Per questo esempio, utilizzare 10.101.0.4.

      • ASN dispositivo: Specificare il numero di sistema autonomo (ASN) del CPE. In questo esempio l'ASN è 65515.

      • Ridondanza: impostare su Nessuna ridondanza.

      • Indirizzo BGP locale con ridondanza della zona: questo campo facoltativo viene visualizzato solo quando si seleziona Ridondanza della zona.

        • Inserire un indirizzo IP BGP che non faccia parte della rete locale dove si trova il CPE e che sia diverso dall'Indirizzo BGP locale.

      • Capacità della larghezza di banda (Mbps): specificare la larghezza di banda del tunnel. Per questo esempio, impostarla su 250 Mbps.

      • Indirizzo BGP locale: immettere un indirizzo IP BGP che non fa parte della rete locale in cui si trova il CPE, come ad esempio 192.168.10.10.

        • Fare riferimento all'elenco di indirizzi BGP validi per i valori riservati che non possono essere usati.

        Screenshot del modulo Aggiungi un collegamento con frecce che mostra la relazione tra il codice JSON e le informazioni sul collegamento.

    3. Selezionare il pulsante Avanti per visualizzare la scheda Dettagli. Mantenere le impostazioni predefinite.
    4. Selezionare il pulsante Avanti per visualizzare la scheda Sicurezza.
    5. Immettere la chiave precondivisa (PSK). La stessa chiave privata deve essere usata nel CPE.
    6. Selezionare il pulsante Salva.

Per ulteriori informazioni sui collegamenti, vedere l’articolo Come gestire i collegamenti dei dispositivi di rete remoti.

  1. Ripetere i passaggi precedenti per creare un secondo collegamento di dispositivo usando la configurazione Instance1 del gateway VPN.
    1. Selezionare + Aggiungi collegamento.
    2. Completare i campi nella scheda Generale nel modulo Aggiungi un collegamento usando la configurazione Istance1 del gateway VPN dalla visualizzazione JSON:
      • Nome collegamento: Instance1
      • Tipo di dispositivo: Altro
      • Indirizzo IP del dispositivo: 203.0.113.251
      • Indirizzo BGP del dispositivo: 10.101.0.5
      • ASN dispositivo: 65515
      • Ridondanza: nessuna ridondanza
      • Capacità della larghezza di banda (Mbps): 250 Mbps
      • Indirizzo BGP locale: 192.168.10.11
    3. Selezionare il pulsante Avanti per visualizzare la scheda Dettagli. Mantenere le impostazioni predefinite.
    4. Selezionare il pulsante Avanti per visualizzare la scheda Sicurezza.
    5. Immettere la chiave precondivisa (PSK). La stessa chiave privata deve essere usata nel CPE.
    6. Selezionare il pulsante Salva.
  2. Passare alla scheda Profili traffico per selezionare il profilo di traffico da collegare alla rete remota.
  3. Selezionare Profilo di traffico di Microsoft 365.
  4. Selezionare Rivedi e crea.
  5. Selezionare Creare delle reti remote.

Passare alla pagina Rete remota per visualizzare i dettagli della nuova rete remota. Deve essere presente un'Area e due Collegamenti.

  1. Selezionare il collegamento Visualizza configurazione nella colonna Dettagli connettività. Screenshot della pagina della Rete remota con in evidenza la nuova regione creata, i suoi due collegamenti e il collegamento Visualizza configurazione.
  2. Copiare il testo della Configurazione di rete remota in un file per riferimento nei passaggi successivi. Prendere nota dell'indirizzo Endpoint, ASN e BGP per ognuno dei collegamenti (Instance0 e Instance1). 
       {
  "id": "68d2fab0-0efd-48af-bb17-d793f8ec8bd8",
  "displayName": "Instance0",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.32",
      "asn": 65476,
      "bgpAddress": "192.168.10.10",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.250",
    "asn": 65515,
    "bgpAddress": "10.101.0.4"
  }
},
{
  "id": "26500385-b1fe-4a1c-a546-39e2d0faa31f",
  "displayName": "Instance1",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.34",
      "asn": 65476,
      "bgpAddress": "192.168.10.11",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.251",
    "asn": 65515,
    "bgpAddress": "10.101.0.5"
  }
}

Creare un sito VPN usando il gateway Microsoft

In questo passaggio creare un sito VPN, associare il sito VPN all'hub e quindi convalidare la connessione.

Creare un sito VPN

  1. Nella portale di Microsoft Azure, accedere all'hub virtuale creato nei passaggi precedenti.
  2. Passare a Connettività>VPN (da sito a sito).
  3. Selezionare + Crea un nuovo sito VPN.
  4. Nella pagina Crea sito VPN, compilare i campi nella scheda Informazioni di base.
  5. Passare alla scheda Collegamenti. Per ogni collegamento, immettere la configurazione del gateway Microsoft dalla configurazione di rete remota annotata nel passaggio "Visualizza dettagli":
    • Nome collegamento: per questo esempio, Instance0; Istanza1.
    • Velocità di collegamento: per questo esempio 250 per entrambi i collegamenti.
    • Nome provider di collegamento: impostare su Altro per entrambi i collegamenti.
    • Collegare l'indirizzo IP/FQDN: usare l'indirizzo dell'endpoint. Per questo esempio, 203.0.113.32; 203.0.113.34.
    • Collegamento indirizzo BGP: usare l'indirizzo BGP, 192.168.10.10; 192.168.10.11.
    • Collegamento ASN: usare l'ASN. Per questo esempio, 65476 per entrambi i collegamenti. Screenshot della pagina Crea VPN, nella scheda Collegamenti, con i campi completati.
  6. Selezionare Rivedi e crea.
  7. Seleziona Crea.

Creare una connessione da sito a sito

In questo passaggio associare il sito VPN del passaggio precedente all'hub. Rimuovere quindi l'associazione dell'hub predefinita:

  1. Passare a Connettività>VPN (da sito a sito).
  2. Selezionare la X per rimuovere il filtro predefinito Associazione hub: connessa a questo filtro hub in modo che il sito VPN venga visualizzato nell'elenco dei siti VPN disponibili. Screenshot della pagina VPN (da sito a sito) con la X evidenziata per il filtro di associazione dell'hub.
  3. Selezionare il sito VPN dall'elenco e selezionare Connetti siti VPN.
  4. Nel modulo Connetti siti, digitare la stessa chiave precondivisa (PSK) usata per il Centro di amministrazione di Microsoft Entra.
  5. Selezionare Connetti.
  6. Dopo circa 30 minuti, il sito VPN viene aggiornato per visualizzare le icone di esito positivo sia per lo Stato del provisioning della connessione che per lo Stato di connettività. Screenshot della pagina VPN (da sito a sito) che mostra uno stato riuscito sia per il provisioning della connessione che per la connettività.

Controllare la connettività BGP e le route apprese nel portale di Microsoft Azure

In questo passaggio usa il Dashboard BGP per controllare l'elenco delle rotte che il gateway site-to-site sta apprendendo.

  1. Passare a Connettività>VPN (da sito a sito).
  2. Selezionare il sito VPN creato nel passaggio precedente.
  3. Seleziona Dashboard BGP.

Il dashboard BGP elenca i peer BGP (gateway VPN e sito VPN), che devono avere lo statoConnesso.

  1. Per visualizzare l'elenco dei percorsi appresi, selezionare Percorsi che il gateway sito a sito sta apprendendo.

L'elenco delle Route apprese mostra che il gateway da sito a sito sta imparando le route di Microsoft 365 elencate nel profilo del traffico di Microsoft 365. Screenshot della pagina Percorsi appresi con i percorsi appresi di Microsoft 365 evidenziati.

L'immagine seguente mostra i Criteri e le regole del profilo di traffico per il profilo di Microsoft 365, che deve corrispondere alle route apprese dal gateway da sito a sito. Screenshot dei profili di inoltro del traffico di Microsoft 365, che mostrano le rotte apprese corrispondenti.

Controllare la connettività nell'interfaccia di amministrazione di Microsoft Entra

Visualizzare i Log di integrità della rete remota per convalidare la connettività nell'Interfaccia di amministrazione di Microsoft Entra.

  1. Nell'interfaccia di amministrazione di Microsoft Entra, navigare a Accesso sicuro globale>Monitoraggio>Log di integrità della rete remota.
  2. Selezionare Aggiungi filtro.
  3. Selezionare Ip di origine e digitare l'indirizzo IP di origine per l'indirizzo IP Instance0 o Instance1 del gateway VPN. Selezionare Applica.
  4. La connettività deve essere "Rete remota attiva".

È anche possibile eseguire la convalida filtrando in base a tunnelConnected o BGPConnected. Per altre informazioni, vedere Cosa sono i log di integrità della rete remota?.

Configurare le funzionalità di sicurezza per i test

In questo passaggio si prepara il test configurando una rete virtuale, aggiungendo una connessione di rete virtuale alla rete wan virtuale e creando un Desktop virtuale Azure.

Creare una rete virtuale

In questo passaggio, usare il portale di Azure per creare una rete virtuale.

  1. Nel portale di Azure cercare e selezionare Reti virtuali.
  2. Nella pagina Reti virtuali selezionare + Crea.
  3. Completare la scheda Dati principali, tra cui Sottoscrizione, Gruppo di risorse, Nome rete virtuale e Area.
  4. Selezionare Avanti per passare alla scheda Sicurezza.
  5. Nella sezione Azure Bastion, selezionare Abilita Bastion.
    • Digitare il nome host di Azure Bastion. Per questo esempio, usare Virtual_network_01-bastion.
    • Selezionare Indirizzo IP pubblico di Azure Bastion. Per questo esempio, selezionare (Nuovo) valore predefinito. Screenshot della schermata Crea rete virtuale, nella scheda Sicurezza, che mostra le impostazioni per Bastion.
  6. Selezionare Avanti per passare alla scheda Indirizzi IP. Configurare lo spazio indirizzi della rete virtuale con uno o più intervalli di indirizzi IPv4 o IPv6.

Suggerimento

Non usare uno spazio indirizzi sovrapposto. Ad esempio, se l'hub virtuale creato nei passaggi precedenti usa lo spazio indirizzi 10.0.0.0/16, creare questa rete virtuale con lo spazio indirizzi 10.2.0.0/16. 7. Selezionare Rivedi e crea. Al termine della convalida, selezionare Crea.

Aggiungere una connessione di rete virtuale alla rete WAN virtuale

In questo passaggio connettere la rete virtuale alla rete wan virtuale.

  1. Aprire la rete WAN virtuale creata nei passaggi precedenti e passare a Connettività>Connessioni di rete virtuale.
  2. Selezionare + Aggiungi connessione.
  3. Completare il modulo Aggiungi connessione, selezionando i valori dall'hub virtuale e dalla rete virtuale creata nelle sezioni precedenti:
    • Nome connessione: VirtualNetwork
    • Hubs: hub1
    • Sottoscrizione: sottoscrizione di Contoso Azure
    • Gruppo di risorse: GlobalSecureAccess_Documentation
    • Rete virtuale: VirtualNetwork
  4. Lasciare i valori predefiniti per i campi rimanenti e selezionare Crea. Screenshot del modulo Aggiungi connessione con informazioni di esempio nei campi obbligatori.

Creare un Desktop virtuale Azure

In questo passaggio creare un desktop virtuale e ospitarlo con Bastion.

  1. Nel portale di Azure cercare e selezionare Desktop virtuale Azure.
  2. Nella pagina di panoramica di Desktop virtuale Azure, selezionare Crea un pool di host.
  3. Completare la scheda Informazioni di base con quanto segue:
    • Nome del pool di host. Per questo esempio, VirtualDesktops.
    • Posizione dell'oggetto Desktop virtuale Azure. In questo caso, Stati Uniti centro-meridionali.
    • Tipo di gruppo di app preferito: selezionare Desktop.
    • Tipo di pool di host: selezionare Pool.
    • Algoritmo di bilanciamento del carico: selezionare Ampiezza-primo.
    • Limite massimo di sessioni: selezionare 2.
  4. Al termine, selezionare Avanti: Macchine virtuali.
  5. Completare la scheda Avanti: Macchine virtuali con quanto segue:
    • Aggiungi macchine virtuali: Sì
    • Il gruppo di risorse desiderato. Per questo esempio, GlobalSecureAccess_Documentation.
    • Prefisso nome: avd
    • Tipo di macchina virtuale: selezionare Macchina virtuale di Azure.
    • Posizione della macchina virtuale: Stati Uniti centro-meridionali.
    • Opzioni di disponibilità: selezionare Nessuna ridondanza dell'infrastruttura necessaria.
    • Tipo di sicurezza: selezionare Macchina virtuale di avvio attendibile.
    • Abilitare l'avvio protetto: Sì
    • Abilitare vTPM: Sì
    • Immagine: per questo esempio selezionare Windows 11 Enterprise multisessione + Microsoft 365 Apps versione 22H2.
    • Dimensioni macchina virtuale: selezionare D2s standard v3, 2 vCPU, 8 GB di memoria.
    • Numero di macchine virtuali: 1
    • Rete virtuale: selezionare la rete virtuale creata nel passaggio precedente VirtualNetwork.
    • Dominio da aggiungere: selezionare Microsoft Entra ID.
    • Immettere le credenziali dell'account amministratore.
  6. Lasciare invariati le opzioni predefinite e selezionare Rivedi e crea.
  7. Al termine della convalida, selezionare Crea.
  8. Dopo circa 30 minuti, il pool di host verrà aggiornato per indicare che la distribuzione è stata completata.
  9. Passare a Microsoft Azure Home e selezionare Macchine virtuali.
  10. Selezionare la macchina virtuale creata nel passaggio precedente.
  11. Seleziona Connetti>Connetti tramite Bastion.
  12. Selezionare Distribuisci Bastion. Il sistema richiede circa 30 minuti per distribuire l'host Bastion.
  13. Dopo aver distribuito Bastion, immettere le stesse credenziali di amministratore usate per creare Desktop virtuale Azure.
  14. Selezionare Connetti. Viene avviato il desktop virtuale.

Testare le funzionalità di sicurezza con Desktop virtuale Azure (AVD)

In questo passaggio viene usato AVD per testare le restrizioni di accesso alla rete virtuale.

Testare la restrizione del locatario

Prima di eseguire il test, abilitare le restrizioni del tenant nella rete virtuale.

  1. Nell'interfaccia di amministrazione di Microsoft Entra passare a Accesso sicuro globale>Impostazioni>Gestione sessione.
  2. Impostare su attivo l'opzione Abilita i tag per applicare le restrizioni del tenant sulla tua rete.
  3. Seleziona Salva.
  4. È possibile modificare i criteri di accesso tra tenant passando a Identità>Identità esterne>Impostazioni accesso tra tenant. Per ulteriori informazioni, vedere l'articolo Panoramica sull'accesso tra tenant.
  5. Mantenere le impostazioni predefinite, che impediscono agli utenti di accedere con account esterni nei dispositivi gestiti.

Per testare:

  1. Accedere alla macchina virtuale Desktop virtuale Azure creata nei passaggi precedenti.
  2. Passare a www.office.com e accedere con un ID organizzazione interno. Questo test deve essere superato correttamente.
  3. Ripetere il passaggio precedente, ma con un account esterno. Questo test dovrebbe non riuscire a causa del blocco dell'accesso.
    Screenshot del messaggio

Testare il ripristino dell'IP di origine

Prima di eseguire il test, abilitare l'accesso condizionale.

  1. Nell'interfaccia di amministrazione di Microsoft Entra passare a Accesso sicuro globale>Impostazioni>Gestione sessione.
  2. Selezionare la scheda Accesso adattivo.
  3. Attivare l'opzione Abilita Segnalazione di Accesso Globale Sicuro nell'Accesso Condizionale.
  4. Seleziona Salva. Per altre informazioni, vedere l'articolo Ripristino IP di origine.

Per eseguire il test (opzione 1): ripetere il test di restrizione del tenant dalla sezione precedente:

  1. Accedere alla macchina virtuale Desktop virtuale Azure creata nei passaggi precedenti.
  2. Passare a www.office.com e accedere con un ID organizzazione interno. Questo test deve essere superato correttamente.
  3. Ripetere il passaggio precedente, ma con un account esterno. Questo test dovrebbe non riuscire perché l'indirizzo IP di origine nel messaggio di errore proviene dall'indirizzo IP pubblico del gateway VPN anziché dal proxy SSE di Microsoft che effettua la richiesta a Microsoft Entra.
    Screenshot del messaggio

Per testare (opzione 2):

  1. Nell'interfaccia di amministrazione di Microsoft Entra, navigare a Accesso sicuro globale>Monitoraggio>Log di integrità della rete remota.
  2. Selezionare Aggiungi filtro.
  3. Selezionare IP di origine e digitare l'indirizzo IP pubblico del gateway VPN. Selezionare Applica. Screenshot della pagina dei registri di integrità della rete remota, con il menu Aggiungi filtro aperto per inserire l'indirizzo IP di origine.

Il sistema ripristina l'indirizzo IP delle apparecchiature locali (CPE) della succursale. Poiché il gateway VPN rappresenta il CPE, i log di integrità mostrano l'indirizzo IP pubblico del gateway VPN, non l'indirizzo IP del proxy.

Rimuovere le risorse non necessarie

Al termine del test o alla fine di un progetto, è consigliabile rimuovere le risorse non più necessarie. Le risorse che rimangono in esecuzione possono costarti denaro. È possibile eliminare risorse singole oppure gruppi di risorse per eliminare l'intero set di risorse.