Een extern netwerk maken met Global Secure Access

Externe netwerken zijn externe locaties, zoals een filiaal of netwerken waarvoor internetverbinding is vereist. Als u externe netwerken instelt, worden uw gebruikers op externe locaties verbonden met Global Secure Access. Zodra een extern netwerk is geconfigureerd, kunt u een profiel voor het doorsturen van verkeer toewijzen om uw bedrijfsnetwerkverkeer te beheren. Global Secure Access biedt externe netwerkconnectiviteit, zodat u netwerkbeveiligingsbeleid kunt toepassen op uw uitgaande verkeer.

Er zijn meerdere manieren om externe netwerken te verbinden met Global Secure Access. In een notendop maakt u een IPSec-tunnel (Internet Protocol Security) tussen een kernrouter, ook wel de klant-premises apparatuur (CPE) genoemd, in uw externe netwerk en het dichtstbijzijnde Global Secure Access-eindpunt. Al het internetverkeer wordt gerouteerd via de kernrouter van het externe netwerk voor evaluatie van beveiligingsbeleid in de cloud. Installatie van een client is niet vereist op afzonderlijke apparaten.

In dit artikel wordt uitgelegd hoe u een extern netwerk maakt voor Global Secure Access.

Vereisten

Als u externe netwerken wilt configureren, moet u het volgende hebben:

• Een globale rol Secure Access Administrator in Microsoft Entra ID.
• Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.
• Als u het Microsoft Traffic Forwarding-profiel wilt gebruiken, wordt een Microsoft 365 E3-licentie aanbevolen.
• Cpe (Customer Premises Equipment) moet ondersteuning bieden voor de volgende protocollen:
  • Internet Protocol Security (IPSec)
  • GCMEAES128, GCMAES 192 of GCMAES256 algoritmen voor ike (Internet Key Exchange) fase 2-onderhandeling
  • Internet Key Exchange Versie 2 (IKEv2)
  • Border Gateway Protocol (BGP)
• Controleer de geldige configuraties voor het instellen van externe netwerken.
• De externe netwerkconnectiviteitsoplossing maakt gebruik van routegebaseerde VPN-configuratie met any-to-any -verkeerkiezers (jokerteken of 0.0.0.0/0). Zorg ervoor dat uw CPE de juiste verkeersselector heeft ingesteld.
• De externe netwerkconnectiviteitsoplossing maakt gebruik van respondermodi . Uw CPE moet de verbinding initiëren.

Bekende beperkingen

• Het aantal externe netwerken per tenant is beperkt tot 10. Het aantal apparaatkoppelingen per extern netwerk is beperkt tot vier.
• Microsoft-verkeer wordt geopend via externe netwerkconnectiviteit zonder de Global Secure Access-client. Het beleid voor voorwaardelijke toegang wordt echter niet afgedwongen. Met andere woorden, beleidsregels voor voorwaardelijke toegang voor het wereldwijde Secure Access Microsoft-verkeer worden alleen afgedwongen wanneer een gebruiker de Global Secure Access-client heeft.
• U moet de Global Secure Access-client gebruiken voor Microsoft Entra-privétoegang. Externe netwerkconnectiviteit ondersteunt alleen Microsoft Entra-internettoegang.

Stappen op hoog niveau

U kunt een extern netwerk maken in het Microsoft Entra-beheercentrum of via de Microsoft Graph API.

Op hoog niveau zijn er vijf stappen voor het maken van een extern netwerk en het configureren van een actieve IPsec-tunnel:

1. Basisbeginselen: voer de basisgegevens in, zoals de naam en regio van uw externe netwerk. Regio geeft aan waar u het andere einde van de IPsec-tunnel wilt gebruiken. Het andere uiteinde van de tunnel is uw router of CPE.

2. Connectiviteit: Voeg een apparaatkoppeling (of IPsec-tunnel) toe aan het externe netwerk. In deze stap voert u de gegevens van uw router in het Microsoft Entra-beheercentrum in, waarmee Microsoft weet waar IKE-onderhandelingen vandaan komen.

3. Profiel voor het doorsturen van verkeer: koppel een profiel voor het doorsturen van verkeer aan het externe netwerk, waarmee wordt opgegeven welk verkeer moet worden verkregen via de IPsec-tunnel. We gebruiken dynamische routering via BGP.

4. Cpe-connectiviteitsconfiguratie weergeven: haal de details van de IPsec-tunnel op van het einde van de tunnel van Microsoft. In de stap Connectiviteit hebt u de gegevens van uw router aan Microsoft verstrekt. In deze stap haalt u de kant van de connectiviteitsconfiguratie van Microsoft op.

5. Stel uw CPE in: voer de connectiviteitsconfiguratie van Microsoft uit de vorige stap in en voer deze in de beheerconsole van uw router of CPE in. Deze stap bevindt zich niet in het Microsoft Entra-beheercentrum.

Microsoft Entra-beheercentrum

Externe netwerken worden geconfigureerd op drie tabbladen. U moet elk tabblad op volgorde voltooien. Nadat u het tabblad hebt voltooid, selecteert u het volgende tabblad boven aan de pagina of selecteert u de knop Volgende onder aan de pagina.

Basisprincipes

De eerste stap is het opgeven van de naam en locatie van uw externe netwerk. Het voltooien van dit tabblad is vereist.

1. Meld u aan bij het Microsoft Entra-beheercentrum als globale beheerder voor beveiligde toegang.

2. Blader naar global Secure Access>Connect>Remote Networks.

3. Selecteer de knop Extern netwerk maken en geef de details op.

   • Naam
   • Regio

   

Connectiviteit

Op het tabblad Connectiviteit voegt u de apparaatkoppelingen voor het externe netwerk toe. U kunt apparaatkoppelingen toevoegen nadat u het externe netwerk hebt gemaakt. U moet het apparaattype, het openbare IP-adres van uw CPE, het BGP-adres (Border Gateway Protocol) en het autonome systeemnummer (ASN) opgeven voor elke apparaatkoppeling.

De details die nodig zijn om dit tabblad te voltooien, kunnen complex zijn, dus dit proces wordt uitgebreid behandeld in de koppelingen voor het beheren van externe netwerkapparaten.

Profielen voor het doorsturen van verkeer

U kunt het externe netwerk toewijzen aan een profiel voor het doorsturen van verkeer wanneer u het externe netwerk maakt. U kunt het externe netwerk ook op een later tijdstip toewijzen. Zie Profielen voor het doorsturen van verkeer voor meer informatie.

1. Selecteer de knop Volgende of selecteer het tabblad Verkeersprofielen .
2. Selecteer het juiste profiel voor het doorsturen van verkeer.
3. Selecteer de knop Controleren en maken.

Het laatste tabblad in het proces is het controleren van alle instellingen die u hebt opgegeven. Bekijk hier de details en selecteer de knop Extern netwerk maken.

CPE-connectiviteitsconfiguratie weergeven

Al uw externe netwerken worden weergegeven op de pagina Extern netwerk . Selecteer de koppeling Configuratie weergeven in de kolom Connectiviteitsgegevens om uw configuratiegegevens weer te geven.

Deze gegevens bevatten de connectiviteitsgegevens van de zijde van Microsoft van het bidirectionele communicatiekanaal dat u gebruikt om uw CPE in te stellen.

Dit proces wordt uitgebreid besproken in de procedures voor het configureren van uw klant-premises apparatuur.

Uw CPE instellen

Deze stap wordt uitgevoerd in de beheerconsole van uw CPE, niet in het Microsoft Entra-beheercentrum. Totdat u deze stap hebt voltooid, is uw IPsec niet ingesteld. IPsec is een bidirectionele communicatie. IKE-onderhandelingen vinden plaats tussen twee partijen voordat de tunnel is ingesteld. Mis deze stap dus niet.

Microsoft Graph API

Externe netwerken voor globale beveiligde toegang kunnen worden bekeken en beheerd met Behulp van Microsoft Graph op het /beta eindpunt. Het maken van een extern netwerk en het toewijzen van een profiel voor het doorsturen van verkeer zijn afzonderlijke API-aanroepen.

1. Meld u aan bij Graph Explorer.

2. Selecteer POST deze optie als de HTTP methode.

3. Selecteer BETA deze optie als de AP versie.

4. Voer de query uit.

   POST https://graph.microsoft.com/beta/networkaccess/connectivity/branches 
   { 
       "name": "ContosoBranch", 
       "region": "East US", 
       "deviceLinks": [ 
       { 
           "name": "CPE Link 1", 
           "ipAddress": "20.125.118.219", 
           "deviceVendor": "Other", 
           "bgpConfiguration": { 
               "localIpAddress": "172.16.11.5",
               "peerIpAddress": "10.16.11.5", 
               "asn": 8888 
             },
           "redundancyConfiguration": {
               "redundancyTier": "noRedundancy",
               "zoneLocalIpAddress": "1.2.1.1"
           },
           "bandwidthCapacityInMbps": "mbps250"
           "tunnelConfiguration": { 
                 "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default", 
                 "preSharedKey": "Detective5OutgrowDiligence" 
             } 
       }] 
   }  
   

Een doorstuurprofiel voor verkeer toewijzen

Het koppelen van een profiel voor het doorsturen van verkeer aan uw externe netwerk met behulp van de Microsoft Graph API bestaat uit twee stappen. Zoek eerst de id van het verkeersprofiel. De id verschilt voor alle tenants. Ten tweede koppelt u het profiel voor het doorsturen van verkeer aan het gewenste externe netwerk.

1. Meld u aan bij Graph Explorer.
2. Selecteer PATCH deze optie als de HTTP methode in de vervolgkeuzelijst.
3. Selecteer de API versie naar bèta.
4. Voer de query in.

   GET https://graph.microsoft.com/beta/networkaccess/forwardingprofiles 
   

5. Selecteer Query uitvoeren.
6. Zoek het ID gewenste profiel voor het doorsturen van verkeer.
7. Selecteer PATCH deze optie als de HTTP methode in de vervolgkeuzelijst.
8. Voer de query in.

       PATCH https://graph.microsoft.com/beta/networkaccess/connectivity/branches/d2b05c5-1e2e-4f1d-ba5a-1a678382ef16/forwardingProfiles
       {
           "@odata.context": "#$delta",
           "value":
           [{
               "ID": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
           }]
       }
   

Uw externe netwerkconfiguraties controleren

Er zijn enkele dingen die u moet overwegen en controleren bij het maken van externe netwerken. Mogelijk moet u enkele instellingen controleren.

• Controleer het IKE-cryptoprofiel: het cryptoprofiel (IKE-fase 1 en fase 2) dat is ingesteld voor een apparaatkoppeling, moet overeenkomen met wat is ingesteld op de CPE. Als u het standaard IKE-beleid hebt gekozen, moet u ervoor zorgen dat uw CPE is ingesteld met het cryptoprofiel dat is opgegeven in het naslagartikel over externe netwerkconfiguraties .

• Controleer de vooraf gedeelde sleutel: Vergelijk de vooraf gedeelde sleutel (PSK) die u hebt opgegeven bij het maken van de apparaatkoppeling in Microsoft Global Secure Access met de PSK die u hebt opgegeven op uw CPE. Deze details worden toegevoegd op het tabblad Beveiliging tijdens het koppelingsproces Toevoegen . Zie Koppelingen voor externe netwerkapparaten beheren voor meer informatie.

• Controleer de lokale en peer-BGP-IP-adressen: het openbare IP- en BGP-adres dat u gebruikt om de CPE te configureren, moet overeenkomen met wat u gebruikt wanneer u een apparaatkoppeling maakt in Microsoft Global Secure Access.

  • Raadpleeg de geldige BGP-adressenlijst voor gereserveerde waarden die niet kunnen worden gebruikt.
  • De lokale en peer-BGP-adressen worden omgekeerd tussen de CPE en wat wordt ingevoerd in Global Secure Access.
    • CPE: Lokaal BGP IP-adres = IP1, Peer BGP IP-adres = IP2
    • Globale beveiligde toegang: lokaal BGP IP-adres = IP2, Peer BGP IP-adres = IP1
  • Kies een IP-adres voor globale beveiligde toegang die niet overlapt met uw on-premises netwerk.

• Controleer ASN: Global Secure Access maakt gebruik van BGP om routes tussen twee autonome systemen te adverteren: uw netwerk en microsoft. Deze autonome systemen moeten verschillende autonome systeemnummers (ASN's) hebben.

  • Raadpleeg de lijst met geldige ASN-waarden voor gereserveerde waarden die niet kunnen worden gebruikt.
  • Wanneer u een extern netwerk maakt in het Microsoft Entra-beheercentrum, gebruikt u de ASN van uw netwerk.
  • Gebruik bij het configureren van uw CPE de ASN van Microsoft. Ga naar externe netwerken voor globale beveiligde toegangsapparaten>>. Selecteer Koppelingen en bevestig de waarde in de kolom ASN koppelen.

• Controleer uw openbare IP-adres: In een testomgeving of lab-installatie kan het openbare IP-adres van uw CPE onverwacht veranderen. Deze wijziging kan ertoe leiden dat de IKE-onderhandeling mislukt, ook al blijft alles hetzelfde.

  • Als u dit scenario tegenkomt, voert u de volgende stappen uit:
    • Werk het openbare IP-adres in het cryptoprofiel van uw CPE bij.
    • Ga naar de externe netwerken van globale beveiligde toegangsapparaten>>.
    • Selecteer het juiste externe netwerk, verwijder de oude tunnel en maak een nieuwe tunnel opnieuw met het bijgewerkte openbare IP-adres.

• Controleer het openbare IP-adres van Microsoft: wanneer u een apparaatkoppeling verwijdert en/of een nieuw ip-adres maakt, krijgt u mogelijk een ander openbaar IP-eindpunt van die koppeling in de weergaveconfiguratie voor dat externe netwerk. Deze wijziging kan ertoe leiden dat de IKE-onderhandeling mislukt. Als u dit scenario tegenkomt, werkt u het openbare IP-adres bij in het cryptoprofiel van uw CPE.

• Controleer de BGP-connectiviteitsinstelling op uw CPE: Stel dat u een apparaatkoppeling voor een extern netwerk maakt. Microsoft biedt u het openbare IP-adres, bijvoorbeeld PIP1, en BGP-adres, bijvoorbeeld BGP1, van de gateway. Deze connectiviteitsgegevens zijn beschikbaar in localConfigurations de jSON-blob die u ziet wanneer u Configuratie voor dat externe netwerk weergeven selecteert. Zorg ervoor dat op uw CPE een statische route is bestemd voor BGP1 die is verzonden via de tunnelinterface die is gemaakt met PIP1. De route is nodig zodat CPE de BGP-routes kan leren die we publiceren via de IPsec-tunnel die u met Microsoft hebt gemaakt.

• Controleer de firewallregels: UDP-poort (User Datagram Protocol) 500 en 4500 en TCP-poort (Transmission Control Protocol) toestaan voor IPsec-tunnel en BGP-connectiviteit in uw firewall.

• Port forwarding: In sommige gevallen is de internetproviderrouter ook een NAT-apparaat (Network Address Translation). Een NAT converteert de privé-IP-adressen van thuisapparaten naar een openbaar internetrouteerbaar apparaat.

  • Over het algemeen wijzigt een NAT-apparaat zowel het IP-adres als de poort. Deze poort wordt gewijzigd in de hoofdmap van het probleem.
  • Global Secure Access werkt alleen als IPsec-tunnels werken met poort 500. In deze poort vindt IKE-onderhandeling plaats.
  • Als de ISP-router deze poort wijzigt in iets anders, kan global Secure Access dit verkeer niet identificeren en onderhandelen mislukt.
  • Als gevolg hiervan mislukt fase 1 van DE IKE-onderhandeling en wordt de tunnel niet tot stand gebracht.
  • Als u deze fout wilt oplossen, voltooit u het doorsturen van de poort op uw apparaat, waardoor de internetproviderrouter de poort niet moet wijzigen en als zodanig doorsturen.

Volgende stappen

De volgende stap voor het aan de slag gaan met Microsoft Entra-internettoegang is het doel van het Microsoft-verkeersprofiel met beleid voor voorwaardelijke toegang.

Zie de volgende artikelen voor meer informatie over externe netwerken:

• Externe netwerken weergeven
• Externe netwerken beheren
• Meer informatie over het toevoegen van externe netwerkapparaatkoppelingen