Como criar uma rede remota com o Acesso Global Seguro

Redes remotas são locais remotos, como uma filial, ou redes que exigem conectividade com a Internet. A configuração de redes remotas conecta seus usuários em locais remotos ao Acesso Global Seguro. Depois que uma rede remota é configurada, é possível atribuir um perfil de encaminhamento de tráfego para gerenciar o tráfego da rede corporativa. O Acesso Seguro Global fornece conectividade de rede remota para que seja possível aplicar políticas de segurança de rede ao tráfego de saída.

Há várias maneiras de conectar redes remotas ao Acesso Seguro Global. Em poucas palavras, você está criando um túnel de Segurança de Protocolo IP (IPSec) entre um roteador principal, conhecido como Equipamento Local do Cliente (CPE), em sua rede remota e no ponto de extremidade de Acesso Seguro Global mais próximo. Todo o tráfego vinculado à Internet é roteado por meio do roteador principal da rede remota para avaliação da política de segurança na nuvem. A instalação de um cliente não é necessária em dispositivos individuais.

Este artigo explica como criar uma rede remota para o Acesso Global Seguro.

Pré-requisitos

Para configurar redes remotas, você deve ter:

• Uma função de Administrador de Acesso Global Seguro no Microsoft Entra ID.
• O produto requer licenciamento. Para obter detalhes, veja a seção de licenciamento de O que é Acesso Global Seguro. Se necessário, você poderá adquirir licenças ou obter licenças de avaliação.
• Para usar o perfil de encaminhamento de tráfego da Microsoft, recomenda-se uma licença do Microsoft 365 E3.
• Os equipamentos nas instalações do cliente (CPE) devem oferecer suporte aos seguintes protocolos:
  • Protocolo IPsec
  • Os algoritmos GCMEAES128, GCMAES 192 ou GCMAES256 para negociação da fase 2 do protocolo IKE
  • Versão 2 do protocolo IKEv2
  • BGP (Border Gateway Protocol)
• Revise as configurações válidas para configurar redes remotas.\
• A solução de conectividade de rede remota usa a configuração de VPN RouteBased com seletores de tráfego (curinga ou 0.0.0.0/0) do tipoqualquer para qualquer. Verifique se o CPE conta com o conjunto de seletores de tráfego correto.
• A solução de conectividade de rede remota usa modos Responder. Seu CPE deve iniciar a conexão.

Limitações conhecidas

• O número de redes remotas por locatário é limitado a 10. O número de vinculações de dispositivo por rede remota é limitado a quatro.
• O tráfego da Microsoft é acessado por meio da conectividade de rede remota sem o cliente de Acesso Seguro Global. Contudo, a política de Acesso Condicional não é imposta. Em outras palavras, as políticas de Acesso Condicional para o tráfego de Acesso Seguro Global da Microsoft são implementadas apenas quando um usuário tem o cliente de Acesso Seguro Global.
• É necessário usar o cliente de Acesso Seguro Global para o Acesso Privado do Microsoft Entra. A conectividade de rede remota só dá suporte ao Acesso à Internet do Microsoft Entra.

Etapas de alto nível

É possível criar uma rede remota no centro de administração do Microsoft Entra ou por meio da API do Microsoft Graph.

Em um alto nível, há cinco etapas para criar uma rede remota e configurar um túnel IPsec ativo:

1. Noções Básicas: insira os detalhes básicos, como o Nome e a Região da rede remota. A Região especifica onde deseja que esteja sua outra extremidade do túnel IPsec. A outra extremidade do túnel é seu roteador ou CPE.

2. Conectividade: adicione um link de dispositivo (ou túnel IPsec) à rede remota. Nessa etapa, serão inseridos os detalhes do roteador no Centro de administração do Microsoft Entra, que informa à Microsoft de onde esperar que as negociações do IKE venham.

3. Perfil encaminhador de tráfego: associe um perfil encaminhador de tráfego à rede remota, que especifica qual tráfego adquirir pelo túnel IPsec. Usamos o roteamento dinâmico por meio do BGP.

4. Exibir configuração de conectividade CPE: recupere os detalhes do túnel IPsec do fim do túnel da Microsoft. Na etapa Conectividade, os detalhes do roteador para a Microsoft foram fornecidos. Nessa etapa, o lado da Microsoft da configuração de conectividade é recuperado.

5. Configure seu CPE: use a configuração de conectividade da Microsoft da etapa anterior e a insira no console de gerenciamento do roteador ou CPE. Esta etapa não está no Centro de administração do Microsoft Entra.

Centro de administração do Microsoft Entra

As redes remotas são configuradas em três guias. É necessário concluir cada guia na ordem. Depois de concluir a guia, selecione a próxima guia na parte superior da página ou selecione o botão Avançar na parte inferior da página.

Noções básicas

A primeira etapa é fornecer o nome e o local da rede remota. A conclusão dessa guia é obrigatória.

1. Iniciar sessão no centro de administração do Microsoft Entra como Administrador do Acesso Global Seguro.
2. Navegue até Acesso Global Seguro>Conectar>Redes Remotas.
3. Selecione o botão Criar rede remota e forneça os detalhes.
   • Nome
   • Região

Conectividade

A guia de Conectividade é o local em que se adiciona os links de dispositivo para a rede remota. É possível adicionar links de dispositivo depois de criar a rede remota. É necessário fornecer o tipo de dispositivo, o endereço IP do seu CPE, o endereço BGP (Border Gateway Protocol) e o ASN (número do sistema autônomo) para o link de cada dispositivo.

Os detalhes necessários para preencher a guia Conectividade podem ser complexos. Para obter mais informações, consulte Como gerenciar links de dispositivo de rede remota.

Perfis de encaminhamento de tráfego

Ao criar a rede remota, é possível atribuí-la a um perfil de encaminhamento de tráfego. Também é possível atribuir a rede remota posteriormente. Para obter mais informações, confira Perfis de encaminhamento de tráfego.

1. Selecione o botão Avançar ou a guia Perfis de tráfego.
2. Selecione o perfil de encaminhamento de tráfego apropriado.
3. Selecione o botão Revisar + Criar.

A guia final no processo é para revisar todas as configurações fornecidas. Revise os detalhes fornecidos aqui e selecione o botão Criar rede remota.

Visualizar configuração de conectividade CPE

Todas as redes remotas são exibidas na página Rede remota. Selecione o link Exibir configuração na coluna Detalhes de conectividade para exibir os detalhes da configuração.

Esses detalhes contêm as informações de conectividade do lado da Microsoft do canal de comunicação bidirecional usado para configurar o CPE.

Esse processo é abordado detalhadamente em Como configurar o equipamento local do cliente.

Configurar o CPE

Esta etapa é executada em console de gerenciamento do CPE, não no centro de administração do Microsoft Entra. Até concluir esta etapa, o IPsec não está configurado. O IPsec é uma comunicação bidirecional. As negociações do IKE ocorrem entre duas partes antes que o túnel seja configurado com êxito. Portanto, não pule essa etapa.

API do Microsoft Graph

As redes remotas do Acesso Seguro Global podem ser exibidas e gerenciadas usando o Microsoft Graph no ponto de extremidade /beta. A criação de uma rede remota e a atribuição de um perfil de encaminhamento de tráfego são chamadas à API separadas.

1. Iniciar sessão no Explorador de gráficos.

2. Selecione POST como o método HTTP.

3. Selecione BETA como a versão AP.

4. Execute a consulta.

   POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks
   Content-Type: application/json
   
   {
       "name": "Bellevue branch w/ device link",
       "region": "canadaEast",
       "forwardingProfiles": [
           {
               "id": "1adaf535-1e31-4e14-983f-2270408162bf"
           }
       ],
       "deviceLinks": [
           {
               "name": "CPE1",
               "ipAddress": "52.13.21.25",
               "bandwidthCapacityInMbps": "mbps500",
               "deviceVendor": "barracudaNetworks",
               "bgpConfiguration": {
                   "localIpAddress": "192.168.1.2",
                   "peerIpAddress": "10.1.1.2",
                   "asn": 65533
               },
               "redundancyConfiguration": {
                   "zoneLocalIpAddress": null,
                   "redundancyTier": "noRedundancy"
               },
               "tunnelConfiguration": {
                   "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default",
                   "preSharedKey": "test123"
               }
           }
       ]
   }
   

Atribuir um perfil de encaminhamento de tráfego

Associar um perfil de encaminhamento de tráfego à rede remota usando a API do Microsoft Graph é um processo de duas etapas. Primeiro, localize a ID do perfil de tráfego. A ID é diferente para todos os locatários. Em segundo lugar, associe o perfil de encaminhamento de tráfego à rede remota desejada.

1. Iniciar sessão no Explorador de gráficos.

2. Selecione PATCH como o método HTTP na lista suspensa.

3. Selecione a versão da API como beta.

4. Insira a consulta.

   GET https://graph.microsoft.com/beta/networkaccess/forwardingprofiles 
   

5. Selecione Executar consulta.

6. Localize a ID do perfil de encaminhamento de tráfego desejado.

7. Selecione PATCH como o método HTTP na lista suspensa.

8. Insira a consulta.

       PATCH https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04
       Content-Type: application/json
   
       {
           "name": "Test Redmond branch"
       }
   

Verifique as configurações de rede remota

Há algumas coisas a considerar e verificar ao criar redes remotas. Talvez seja necessário verificar novamente algumas configurações.

• Verificar perfil de criptografia IKE: o perfil de criptografia (algoritmos do IKE na fase 1 e 2) definido para uma vinculação de dispositivo deve corresponder ao que é definido no CPE. Caso escolha a política de IKE padrão, verifique se o CPE está configurado com o perfil de criptografia especificado no artigo de referência Configurações de rede remota.

• Verificar chave pré-compartilhada: compare a PSK (chave pré-compartilhada) especificada ao criar o link do dispositivo no Acesso Seguro Global da Microsoft com a PSK especificada em seu CPE. Esse detalhe é adicionado na guia Segurança durante o processo Adicionar um link. Para obter mais informações, consulte Como gerenciar links de dispositivo de rede remota..

• Verificar endereços IP locais e emparelhar endereços IP BGP: o IP público e o endereço BGP usados para configurar o CPE devem corresponder àquele usado ao criar uma vinculação de dispositivo no Acesso Seguro Local da Microsoft.

  • Consulte a lista de endereços BGP válidos para valores reservados que não podem ser usados.
  • Os endereços BGP locais e pares são invertidos entre o CPE e o que é inserido no Acesso Seguro Global.
    • CPE: endereço IP BGP local = IP1, endereço IP BGP par = IP2
    • Acesso Seguro Global: endereço IP BGP local = IP2, endereço IP BGP par = IP1
  • Escolha um endereço IP para o Acesso Seguro Global que não se sobreponha à rede local.

• Verificar ASN: o Acesso Seguro Global usa o BGP para anunciar rotas entre dois sistemas autônomos: sua rede e a da Microsoft. Esses sistemas autônomos devem ter ASNs (Números do Sistema Autônomo) diferentes.

  • Consulte a lista de valores ASN válidos para valores reservados que não podem ser usados.
  • Ao criar uma rede remota no centro de administração do Microsoft Entra, use o ASN da sua rede.
  • Ao configurar seu CPE, use o ASN da Microsoft. Vá para Acesso Seguro Global>Dispositivos>Redes Remotas. Selecione Links e confirme o valor na coluna Vincular ASN.

• Verificar seu endereço IP: em um ambiente de teste ou configuração de laboratório, o endereço IP do seu CPE pode mudar inesperadamente. Essa alteração pode fazer que a negociação do IKE falhe mesmo que tudo permaneça o mesmo.

  • Caso encontre esse cenário, conclua as seguintes etapas:
    • Atualize o endereço IP no perfil de criptografia do seu CPE.
    • Vá para o Acesso Seguro Global>Dispositivos>Redes Remotas.
    • Selecione a rede remota apropriada, exclua o túnel antigo e recrie um novo túnel com o endereço IP atualizado.

• Verifique o endereço IP da Microsoft: ao excluir um link do dispositivo e/ou criar um novo, será possível obter outro ponto de extremidade de IP desse link em Exibir configuração para essa rede remota. Essa alteração pode fazer que haja uma falha na negociação do IKE. Caso encontre esse cenário, atualize o endereço IP no perfil de criptografia do su CPE.

• Verifique a configuração de conectividade BGP em seu CPE: suponha a criação de um link de dispositivo para uma rede remota. A Microsoft fornece o endereço IP, por exemplo, PIP1, além do endereço BGP, como BGP1, do seu gateway. Essas informações de conectividade estão disponíveis em localConfigurations no blob JSON que é visualizado ao selecionar Exibir configuração para essa rede remota. Em seu CPE, verifique se possui uma rota estática destinada ao BGP1 enviada pela interface de túnel criada com PIP1. Essa rota é necessária para que o CPE possa aprender as rotas BGP que publicamos no túnel IPsec criado com a Microsoft.

• Verificar as regras de firewall: permitir porta 500 e 4500 do protocolo UDP e porta 179 do protocolo TCP para túnel IPsec e conectividade BGP em seu firewall.

• Encaminhamento de porta: em algumas situações, o roteador do ISP (Provedor de Serviço de Internet) também pode ser um dispositivo de NAT (conversão de endereços de rede). Um NAT converte os endereços IP privados de dispositivos domésticos em um dispositivo roteável público da Internet.

  • Em geral, um dispositivo de NAT altera o endereço IP e a porta. Essa alteração de porta é a raiz do problema.
  • Para que os túneis IPsec funcionem, o Acesso Seguro Global usa a porta 500. Essa porta é onde ocorre a negociação do IKE.
  • Se o roteador do ISP alterar essa porta, o Acesso Seguro Global não poderá identificar esse tráfego e haverá uma falha na negociação.
  • Como resultado, a fase 1 da negociação do IKE falhará e o túnel não será estabelecido.
  • Para corrigir essa falha, conclua o encaminhamento de porta em seu dispositivo, que informa ao roteador do ISP para não alterar a porta e encaminhá-la como está.

Próximas etapas

O próximo passo para começar a usar o Acesso à Internet do Microsoft Entra é visar o perfil de tráfego da Microsoft com a política de Acesso Condicional.

Para obter mais informações sobre redes remotas, confira os seguintes artigos:

• Listar redes remotas
• Gerenciar redes remotas
• Saiba como adicionar links de dispositivo de rede remota