Aggiungere ed eliminare collegamenti dispositivo nelle reti remote

Le attrezzature locali dei clienti, ad esempio i router, vengono aggiunte alla rete remota. È possibile creare collegamenti dispositivo quando si crea una nuova rete remota o aggiungerli dopo la creazione della rete remota. Questo articolo spiega come aggiungere ed eliminare collegamenti dispositivo per reti remote per il servizio Accesso globale sicuro.

Prerequisiti

Per configurare le reti remote, è necessario disporre di:

• Uni ruolo Amministratore Accesso globale sicuro in Microsoft Entra ID.
• Una rete remota già creata.
• Il prodotto richiede licenze. Per informazioni dettagliate, vedere la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario, è possibile acquistare licenze o ottenere licenze di prova gratuita.

Aggiungere un collegamento dispositivo

È possibile aggiungere un collegamento dispositivo dall'Interfaccia di amministrazione di Microsoft Entra o usando l'API Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

È possibile aggiungere un collegamento dispositivo in una rete remota in qualsiasi momento.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra come Amministratore Accesso globale sicuro.

2. Passare a Global Secure Access Devices Remote network (Rete remota dispositivi>di accesso>sicuro globale).

3. Selezionare una rete remota dall'elenco.

   

4. Selezionare Collegamenti dal menu.

5. Selezionare il pulsante + Aggiungi un collegamento.

   

Aggiungere un collegamento - Scheda Generale

Nella scheda Generale è possibile immettere diverse informazioni. Prestare particolare attenzione agli indirizzi BGP (Peer and Local Border Gateway Protocol). I dettagli peer e locali vengono invertiti, a seconda della posizione in cui viene completata la configurazione.

1. Immetti i dettagli seguenti.
   • Nome collegamento: nome dell'attrezzatura locale del cliente (CPE).
   • Nome dispositivo: scegliere un’opzione del dispositivo dall’elenco a discesa.
   • Indirizzo IP: indirizzo IP pubblico del dispositivo.
   • Indirizzo BGP peer: immettere l'indirizzo IP BGP del CPE.
     • Questo indirizzo viene immesso come indirizzo IP locale BGP nel CPE.
   • Indirizzo BGP locale: immettere un indirizzo IP BGP che non* fa parte della rete locale in cui si trova il CPE.
     • Ad esempio, se la rete locale è 10.1.0.0/16, è possibile usare 10.2.0.4 come indirizzo BGP locale.
     • Questo indirizzo viene immesso come indirizzo IP BGP peersul CPE.
   • Collegamento ASN: specificare il numero di sistema autonomo (ASN) del CPE.
     • Una connessione abilitata per BGP tra due gateway di rete richiede che abbiano un numero di sistema autonomo (ASN) diverso.
     • Per altre informazioni, vedere la sezione ASN validi dell'articolo Configurazioni della rete remota.
   • Ridondanza: selezionare Nessuna ridondanza o Ridondanza della zona per il tunnel IPSec.
   • Indirizzo BGP locale con ridondanza della zona: questo campo facoltativo viene visualizzato solo quando si seleziona Ridondanza della zona.
     • Inserire un indirizzo IP BGP locale che non* faccia parte della rete locale dove si trova il CPE e che sia diverso dal valore impostato in Indirizzo BGP locale.
   • Capacità della larghezza di banda (Mbps): specificare la larghezza di banda del tunnel. Le opzioni disponibili sono: 250, 500, 750 e 1.000 Mbps.
2. Seleziona il pulsante Avanti.

Aggiungere un collegamento - Scheda Dettagli

La scheda Dettagli consente di stabilire il canale di comunicazione bidirezionale tra Accesso globale sicuro e CPE. Configurare i criteri IPSec/IKE e selezionare il pulsante Avanti.

• IKEv2 è selezionato per impostazione predefinita. Al momento è supportato solo IKEv2.
• Il criterio IPSec/IKE è impostato su Predefinito, ma è possibile impostarlo su Personalizzato.
• Se si sceglie il criterio IPSec/IKE personalizzato, vedere prima di tutto l'articolo Come creare una rete remota con criteri IKE (Internet Key Exchange) personalizzati.
• Se si seleziona Personalizzato, è necessario usare una combinazione di impostazioni supportate dal servizio Accesso globale sicuro. Le configurazioni valide che è possibile usare sono descritte nell'articolo di riferimento Configurazioni valide per la rete remota.
• Sia che si scelga Predefinito o Personalizzato, il criterio IPSec/IKE specificato deve corrispondere ai criteri di crittografia nel CPE.

Aggiungere un collegamento - Scheda Sicurezza

1. Immettere la chiave precondivisa (PSK). La stessa chiave privata deve essere usata nel CPE.

2. Selezionare il pulsante Salva.

   

API di Microsoft Graph

È possibile creare reti remote con criteri IKE personalizzati usando Microsoft Graph nell'endpoint /beta.

1. Accedere a Graph explorer.

2. Selezionare POST come metodo HTTP nell'elenco a discesa.

3. Impostare la versione dell'API su beta.

4. Eseguire la query seguente per ottenere un elenco delle reti remote e i relativi dettagli.

   GET https://graph.microsoft.com/beta/networkaccess/connectivity/branches
   

5. Eseguire la query seguente per ottenere i dettagli del collegamento dispositivo.

   POST https://graph.microsoft.com/beta/networkaccess/connectivity/branches/BRANCH_ID/deviceLinks
   

Risposta campione:

{
   "name": "CPE2",
   "ipAddress": "100.1.1.56",
    "BandwidthCapacityInMbps": "Mbps250",
    "bgpConfiguration": {
        "LocalIpAddress": "10.1.1.28",
        "PeerIpAddress": "10.1.1.28",
        "asn": 5555
    },
    "tunnelConfiguration": {
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default",
        "preSharedKey": "secret.ppk"
    },
    "redundancyConfiguration": {
    "redundancyTier": "zoneRedundancy",
    "zoneLocalIpAddress": "1.1.1.12"
    },
    "deviceVendor": "citrix"
}

Come eliminare i collegamenti dispositivo

È possibile eliminare i collegamenti dispositivo tramite l'Interfaccia di amministrazione di Microsoft Entra e usando l'API Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra come Amministratore Accesso globale sicuro.

2. Passare a Global Secure Access Devices Remote network (Rete remota dispositivi>di accesso>sicuro globale). I collegamenti del dispositivo vengono visualizzati nella colonna Collegamenti nell'elenco delle reti remote.

3. Selezionare il collegamento dispositivo nella colonna Collegamenti per accedere alla pagina dei relativi dettagli.

4. Selezionare l'icona Elimina per il collegamento dispositivo da eliminare. Viene visualizzata una finestra di dialogo di conferma. Per confermare l'eliminazione seleziona Elimina.

   

API di Microsoft Graph

1. Accedere a Graph explorer.

2. Selezionare DELETE come metodo HTTP nell'elenco a discesa.

3. Impostare la versione dell'API su beta.

4. Immettere la query seguente.

   DELETE https://graph.microsoft.com/beta/networkaccess/connectivity/branches/BRANCH_ID/deviceLinks/LINK_ID