Прочитать на английском

Поделиться через

Имитация удаленного сетевого подключения с помощью виртуальной глобальной сети Azure

  • Статья

В этой статье объясняется, как имитировать удаленное сетевое подключение с помощью удаленной виртуальной сети (vWAN). Если вы хотите имитировать удаленное сетевое подключение с помощью шлюза виртуальной сети Azure (VNG), см. статью "Имитация удаленного сетевого подключения с помощью Azure VNG".

Предпосылки

Чтобы выполнить действия в этом процессе, необходимо иметь следующие предварительные требования:

  • Подписка Azure и разрешение на создание ресурсов в портал Azure.
  • Базовое понимание сетей виртуальной зоны (vWAN).
  • Базовое понимание VPN-подключений типа "сайт-к-сайту".
  • Клиент Microsoft Entra с назначенной ролью глобального администратора безопасного доступа.
  • Базовое представление о виртуальных рабочих столах Azure или виртуальных машинах Azure.

В этом документе используются следующие примеры значений, а также значения в изображениях и шагах. Вы можете настроить эти параметры в соответствии с вашими собственными требованиями.

  • Подписка: Visual Studio Enterprise
  • Имя группы ресурсов: GlobalSecureAccess_Documentation
  • Регион: южная часть США

Пошаговые действия

Действия по созданию удаленной сети с помощью виртуальной глобальной сети Azure требуют доступа как к портал Azure, так и к Центру администрирования Microsoft Entra. Чтобы легко переключаться между ними, откройте Azure и Microsoft Entra на отдельных вкладках. Так как для развертывания некоторых ресурсов может потребоваться более 30 минут, не менее двух часов, чтобы завершить этот процесс. Напоминание: Ресурсы, которые продолжают работать, могут стоить вам денег. При завершении тестирования или в конце проекта рекомендуется удалить ресурсы, которые больше не нужны.

  1. Настроить виртуальную глобальную сеть в портале Azure
    1. Создание виртуальной глобальной сети
    2. Создайте виртуальный концентратор с шлюзом VPN типа "сайт-сайт"Развертывание виртуального концентратора занимает около 30 минут.
    3. Получение сведений о VPN-шлюзе
  2. Создание удаленной сети в Центре администрирования Microsoft Entra
  3. Создание VPN-сайта с помощью шлюза Майкрософт
    1. Создание VPN-сайта
    2. Создание подключения сеть-сетьПодключение занимает около 30 минут для развертывания.
    3. Проверка подключения к протоколу пограничного шлюза и изученных маршрутов в портале Microsoft Azure
    4. Проверка подключения в Центре администрирования Microsoft Entra
  4. Настройка функций безопасности для тестирования
    1. Создание виртуальной сети
    2. Добавьте подключение виртуальной сети к vWAN
    3. Создание виртуального рабочего стола AzureРазвертывание виртуального рабочего стола Azure занимает около 30 минут. Развертывание Bastion занимает еще 30 минут.
  5. Тестирование функций безопасности с помощью виртуального рабочего стола Azure (AVD)
    1. Проведите тест на ограничение арендатора
    2. Восстановление ИСХОДНОго IP-адреса теста

Настройка виртуальной глобальной сети в портале Azure

Существует три основных шага по настройке виртуальной глобальной сети:

  1. Создание виртуальной глобальной сети
  2. Создание виртуального концентратора с VPN-шлюзом для соединения "сеть-сеть"
  3. Получение сведений о VPN-шлюзе

Создание виртуальной глобальной сети.

Создайте виртуальную глобальную сеть для подключения к ресурсам в Azure. Дополнительные сведения о виртуальной глобальной сети см. в обзоре виртуальной глобальной сети.

  1. На портале Microsoft Azure в строке поиска ресурсов введите vWAN и нажмите клавишу Enter.
  2. Выберите vWANs из результатов. На странице vWANs нажмите кнопку + Создать, чтобы открыть страницу Создать WAN.
  3. На странице Создание глобальной сети на вкладке Основные сведения заполните поля. Замените примеры значений на соответствующие для вашей среды.
    • Подписка. Выберите подписку, которую вы хотите использовать.
    • Группа ресурсов. Создайте новую группу ресурсов или используйте имеющуюся.
    • Расположение группы ресурсов. Выберите расположение ресурсов из раскрывающегося списка. Глобальная сеть — это глобальный ресурс, который не располагается в определенном регионе. Однако вы должны выбрать регион для управления и найти созданный вами ресурс глобальной сети.
    • Имя: Введите имя, которое вы хотите использовать для вашего vWAN.
    • Тип. "Базовый" или "Стандартный". Выберите Стандартное. Если выбрать "Basic", учтите, что базовые vWAN могут содержать только базовые концентраторы. Базовые концентраторы можно использовать только для подключений между сайтами.
  4. После заполнения полей в нижней части страницы нажмите кнопку "Проверить и создать". Снимок экрана: страница
  5. После прохождения проверки нажмите кнопку "Создать ".

Создание виртуального концентратора с ПОМОЩЬЮ VPN-шлюза

Затем создайте виртуальный концентратор с помощью шлюза межсетевой виртуальной частной сети (VPN):

  1. В новой виртуальной глобальной сети в разделе "Подключение" выберите "Центры".
  2. Выберите + Новый концентратор.
  3. На странице "Создание виртуального концентратора" на вкладке "Основные сведения" заполните поля в соответствии с вашей средой.
    • Регион: выберите регион, в котором требуется развернуть виртуальный центр.
    • Имя: имя виртуального центра.
    • Частное адресное пространство концентратора: в этом примере используйте 10.101.0.0/24. Чтобы создать концентратор, диапазон адресов должен быть представлен в нотации CIDR (маршрутизация без классов) и иметь минимальный размер адресного пространства /24.
    • Емкость виртуального концентратора: в этом примере выберите 2 единицы инфраструктуры маршрутизации, маршрутизатор 3 Гбит/с, поддерживает 2000 виртуальных машин. Дополнительные сведения о параметрах виртуальных концентраторов см. на этой странице.
    • Предпочтения маршрутизации концентратора: оставьте значение по умолчанию. Дополнительные сведения см. в разделе Предпочтение маршрутизации виртуального концентратора.
    • Нажмите Далее: Сайт к сайту>. Снимок экрана: страница
  4. На вкладке "Сайт — сайт " заполните следующие поля:
    • Выберите Да, чтобы создать VPN-шлюз Site-to-site.
    • Номер AS. Данные в этом поле нельзя изменить.
    • Единицы масштабирования шлюза: в этом примере выберите 1 единицу масштабирования — 500 Мбит/с x 2. Это значение должно соответствовать статистической пропускной способности VPN-шлюза, создаваемого в виртуальном концентраторе.
    • Вариант маршрутизации. В этом примере выберите сеть Майкрософт для маршрутизации трафика между Azure и Интернетом. Дополнительные сведения о предпочтениях маршрутизации через сеть Майкрософт или поставщик услуг Интернета (ISP) см. в статье о предпочтениях маршрутизации. Снимок экрана: страница
  5. Оставьте остальные параметры вкладки заданными по умолчанию и выберите "Проверить и создать ", чтобы проверить.
  6. Выберите Создать, чтобы создать концентратор и шлюз. Этот процесс может занять до 30 минут.
  7. Через 30 минут обновите центр на странице "Центры", а затем выберите "Перейти к ресурсу", чтобы перейти к ресурсу.

Получение сведений о VPN-шлюзе

Чтобы создать удаленную сеть в Центре администрирования Microsoft Entra, необходимо просмотреть и записать сведения о VPN-шлюзе для виртуального концентратора, созданного на предыдущем шаге.

  1. В новой виртуальной глобальной сети в разделе "Подключение" выберите "Центры".
  2. Выберите виртуальный концентратор.
  3. Выберите VPN (сеть — сеть).
  4. На странице "Виртуальный концентратор" выберите ссылку VPN-шлюз. Снимок экрана: страница VPN (сайт–сайт) с видимой ссылкой на VPN-шлюз.
  5. На странице VPN-шлюза выберите режим JSON.
  6. Скопируйте текст JSON в файл для ссылки на предстоящие действия. Запишите автономный номер системы (ASN), IP-адрес устройства и адрес протокола BGP для использования в Центре администрирования Microsoft Entra на следующем шаге.
    JSON 
       "bgpSettings": {
        "asn": 65515,
        "peerWeight": 0,
        "bgpPeeringAddresses": [
            {
                "ipconfigurationId": "Instance0",
                "defaultBgpIpAddresses": [
                    "10.101.0.12"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.250",
                    "10.101.0.4"
                ]
            },
            {
                "ipconfigurationId": "Instance1",
                "defaultBgpIpAddresses": [
                    "10.101.0.13"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.251",
                    "10.101.0.5"
                ]
            }
        ]
    }

Совет

Нельзя изменить значение ASN.

Создание удаленной сети в Центре администрирования Microsoft Entra

На этом шаге используйте сведения о сети из VPN-шлюза для создания удаленной сети в Центре администрирования Microsoft Entra. Первым шагом является указание имени и расположения удаленной сети.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор безопасности.
  2. Перейдите к Global Secure Access>Connect>Удаленные сети.
  3. Нажмите кнопку "Создать удаленную сеть " и укажите сведения.
    • Имя: в этом примере используйте Azure_vWAN.
    • Регион: в этом примере выберите южную центральную часть США.
  4. Нажмите кнопку "Далее": подключение для перехода на вкладку "Подключение".Снимок экрана: страница
  5. На вкладке "Подключение" добавьте ссылки устройства для удаленной сети. Создайте одну ссылку для экземпляра VPN-шлюза Instance0 и еще одну ссылку для экземпляра VPN-шлюза Instance1.
    1. Нажмите кнопку +Добавить ссылку.
    2. Заполните поля на вкладке «Общие» в форме «Добавить ссылку», используя конфигурацию Instance0 VPN-шлюза из представления JSON.

      • Имя ссылки: имя локального оборудования клиента (CPE). В этом примере — Instance0.

      • Тип устройства: выберите вариант устройства из раскрывающегося списка. Установите значение "Другое".

      • IP-адрес устройства: общедоступный IP-адрес устройства. В этом примере используйте 203.0.113.250.

      • Адрес BGP устройства: введите IP-адрес протокола BGP для CPE. В этом примере используйте 10.101.0.4.

      • ASN устройства: укажите номер автономной системы (ASN) CPE. В этом примере ASN равно 65515.

      • Избыточность: задайте значение "Нет избыточности".

      • Локальный BGP-адрес с избыточностью в зонах: это необязательное поле отображается только при выборе избыточности зоны.

        • Введите IP-адрес BGP, который не входит в локальную сеть, где находится CPE, и отличается от локального BGP-адреса.

      • Емкость пропускной способности (Мбит/с):укажите пропускную способность туннеля. В этом примере задайте значение 250 Мбит/с.

      • Локальный адрес BGP: используйте IP-адрес BGP, который не входит в локальную сеть, где находится CPE, например 192.168.10.10.

        • Ознакомьтесь со списком допустимых адресов BGP, чтобы узнать о зарезервированных значениях, которые нельзя использовать.

        Снимок экрана: форма добавления ссылки со стрелками, показывающими связь между кодом JSON и сведениями о ссылке.

    3. Нажмите кнопку "Далее", чтобы просмотреть вкладку "Сведения". Сохраните параметры по умолчанию.
    4. Нажмите кнопку "Далее", чтобы просмотреть вкладку "Безопасность".
    5. Введите общий ключ (PSK). Тот же секретный ключ должен использоваться в CPE.
    6. Выберите кнопку Сохранить.

Дополнительные сведения о ссылках см. в статье " Управление ссылками удаленного сетевого устройства".

  1. Повторите описанные выше действия, чтобы создать вторую ссылку на устройство, используя конфигурацию Instance1 VPN-шлюза.
    1. Нажмите кнопку +Добавить ссылку.
    2. Заполните поля на вкладке "Общие " в форме "Добавить ссылку " с помощью конфигурации VPN-шлюза Instance1 из представления JSON:
      • Название ссылки: Instance1
      • Тип устройства: другие
      • IP-адрес устройства: 203.0.113.251
      • BGP-адрес устройства: 10.101.0.5
      • ASN устройства: 65515
      • Избыточность: Отсутствие избыточности
      • Емкость пропускной способности (Мбит/с): 250 Мбит/с
      • Локальный адрес BGP: 192.168.10.11
    3. Нажмите кнопку "Далее", чтобы просмотреть вкладку "Сведения". Сохраните параметры по умолчанию.
    4. Нажмите кнопку "Далее", чтобы просмотреть вкладку "Безопасность".
    5. Введите общий ключ (PSK). Тот же секретный ключ должен использоваться в CPE.
    6. Выберите кнопку Сохранить.
  2. Перейдите на вкладку "Профили трафика" , чтобы выбрать профиль трафика, чтобы связаться с удаленной сетью.
  3. Выберите профиль трафика Microsoft 365.
  4. Выберите Review + create (Просмотреть и создать).
  5. Выберите "Создать удаленную сеть".

Перейдите на страницу удаленной сети, чтобы просмотреть сведения о новой удаленной сети. Должен быть один регион и две ссылки.

  1. В разделе "Сведения о подключении" выберите ссылку "Просмотр конфигурации ". Снимок экрана: страница удаленной сети с только что созданной областью, двумя ссылками и выделенной ссылкой
  2. Скопируйте текст конфигурации удаленной сети в файл, чтобы использовать его в предстоящих шагах. Запишите адрес конечной точки, ASN и BGP для каждой ссылки (Instance0 и Instance1).
    JSON 
       {
  "id": "68d2fab0-0efd-48af-bb17-d793f8ec8bd8",
  "displayName": "Instance0",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.32",
      "asn": 65476,
      "bgpAddress": "192.168.10.10",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.250",
    "asn": 65515,
    "bgpAddress": "10.101.0.4"
  }
},
{
  "id": "26500385-b1fe-4a1c-a546-39e2d0faa31f",
  "displayName": "Instance1",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.34",
      "asn": 65476,
      "bgpAddress": "192.168.10.11",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.251",
    "asn": 65515,
    "bgpAddress": "10.101.0.5"
  }
}

Создание VPN-сайта с помощью шлюза Майкрософт

На этом шаге создайте VPN-сайт, свяжите VPN-сайт с концентратором и проверьте подключение.

Создание VPN-сайта

  1. В портале Microsoft Azure войдите в виртуальный концентратор, созданный на предыдущих этапах.
  2. Перейдите к Подключение>VPN (от сайта к сайту).
  3. Выберите и создайте новый VPN-сайт.
  4. На странице "Создание VPN-сайта" заполните поля на вкладке "Основные сведения".
  5. Перейдите на вкладку "Ссылки ". Для каждой ссылки введите конфигурацию шлюза Майкрософт из конфигурации удаленной сети, указанной на шаге "Просмотр сведений":
    • Имя ссылки: в этом примере Instance0; Instance1.
    • Скорость связи: в этом примере 250 для обоих ссылок.
    • Имя поставщика ссылок: задайте для обоих ссылок значение "Другие ".
    • Свяжите IP-адрес или полное доменное имя (FQDN): используйте адрес конечной точки. В этом примере 203.0.113.32; 203.0.113.34.
    • Связывание адреса BGP: используйте адрес BGP, 192.168.10.10; 192.168.10.11.
    • Связывание ASN: используйте ASN. В этом примере для обоих ссылок используется 65476 . Снимок экрана: страница
  6. Выберите Просмотр и создание.
  7. Нажмите кнопку создания.

Создание подключения "сеть — сеть"

На этом шаге свяжите VPN-сайт из предыдущего шага с концентратором. Затем удалите ассоциацию центрального устройства по умолчанию:

  1. Перейдите к Подключение>VPN (сайт к сайту).
  2. Выберите X, чтобы удалить связь концентратора по умолчанию: подключено к этому фильтру концентратора, чтобы VPN-сайт появился в списке доступных VPN-сайтов. Снимок экрана: страница VPN (сеть — сайт) с выделенным X для фильтра сопоставлений концентратора.
  3. Выберите VPN-сайт из списка и выберите "Подключить VPN-сайты".
  4. В форме "Подключение сайтов" введите тот же предварительно общий ключ (PSK), используемый для административного центра Microsoft Entra.
  5. Нажмите Подключиться.
  6. Через 30 минут vpn-сайт обновляется, чтобы отобразить значки успешности как состояния подготовки подключения, так и состояния подключения. Снимок экрана страницы VPN (сайт-сайт), показывающий успешный статус как подготовки подключения, так и подключения.

Проверьте подключение BGP и изученные маршруты в портале Microsoft Azure

На этом шаге используйте панель мониторинга BGP, чтобы проверить список выученных маршрутов, которые изучает шлюз от узла к узлу.

  1. Перейдите к Подключение>VPN (сеть-сеть).
  2. Выберите VPN-сайт, созданный на предыдущих шагах.
  3. Выберите BGP Dashboard.

На панели мониторинга BGP перечислены BGP-пиры (VPN-шлюзы и VPN-сайт), которые должны иметь состояниеПодключено.

  1. Чтобы просмотреть список выученных маршрутов, выберите Маршруты, изучаемые шлюзом "сеть-сеть".

Список обученных маршрутов показывает, что шлюз "сеть — сеть" изучает маршруты Microsoft 365, перечисленные в профиле трафика Microsoft 365. Снимок экрана: страница

На следующем рисунке показан профиль трафика Политики и правила для Microsoft 365, который должен соответствовать маршрутам, полученным из шлюза межсайтового соединения. Снимок экрана профилей перенаправления трафика Microsoft 365, показывающий соответствующие обученные маршруты.

Проверка подключения в Центре администрирования Microsoft Entra

Просмотрите журналы работоспособности удаленной сети, чтобы проверить подключение в Центре администрирования Microsoft Entra.

  1. В Центре администрирования Microsoft Entra перейдите к Global Secure Access>Монитор>Журналы работоспособности удаленной сети.
  2. Выберите Добавить фильтр.
  3. Выберите исходный IP-адрес и введите его для IP-адреса экземпляра VPN-шлюза Экземпляра0 или Экземпляра1. Выберите Применить.
  4. Подключение должно быть "Удаленная сеть активна".

Вы также можете выполнить проверку, отфильтровав по tunnelConnected или BGPConnected. Дополнительные сведения см. в разделе "Что такое журналы работоспособности удаленной сети?".

Настройка функций безопасности для тестирования

На этом шаге мы подготовимся к тестированию, настроив виртуальную сеть, добавив подключение виртуальной сети к виртуальной глобальной сети и создав виртуальный рабочий стол Azure.

Создание виртуальной сети

На этом шаге используйте портал Azure для создания виртуальной сети.

  1. На портале Azure найдите и выберите Виртуальные сети.
  2. На странице Виртуальные сети выберите команду + Создать.
  3. Перейдите на вкладку "Основные сведения", включая подписку, группу ресурсов, имя виртуальной сети и регион.
  4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".
  5. В разделе Бастиона Azure выберите "Включить бастион".
    • Введите имя узла Azure Bastion. В этом примере используйте Virtual_network_01-bastion.
    • Выберите общедоступный IP-адрес Бастиона Azure. В этом примере выберите (Создать) по умолчанию. Снимок экрана: экран
  6. Нажмите кнопку "Далее ", чтобы перейти на вкладку " IP-адреса". Настройте адресное пространство виртуальной сети с одним или несколькими диапазонами адресов IPv4 или IPv6.

Совет

Не используйте перекрывающиеся адресные пространства. Например, если виртуальный концентратор, созданный на предыдущих шагах, использует адресное пространство 10.0.0.0/16, создайте эту виртуальную сеть с адресным пространством 10.2.0.0/16. 7. Выберите "Проверить и создать". После завершения проверки нажмите кнопку Создать.

Добавить подключение виртуальной сети к виртуальной глобальной сети (vWAN)

На этом шаге подключите виртуальную сеть к виртуальной глобальной сети.

  1. Откройте Виртуальную WAN, созданную на предыдущих шагах, и перейдите к Подключение>Подключения виртуальной сети.
  2. Выберите + Add connection (+ Добавить подключение).
  3. Заполните форму добавления подключения, выбрав значения из виртуального концентратора и виртуальной сети, созданной в предыдущих разделах:
    • Имя подключения: VirtualNetwork
    • Центры: hub1
    • Подписка Contoso Azure
    • Группа ресурсов: GlobalSecureAccess_Documentation
    • Виртуальная сеть: VirtualNetwork
  4. Оставьте оставшиеся поля заданными значениями по умолчанию и нажмите кнопку "Создать". Снимок экрана: форма добавления подключения с примерами сведений в обязательных полях.

Создание виртуального рабочего стола Azure

На этом шаге создайте виртуальный рабочий стол и хостите его с Bastion.

  1. На портале Azure найдите и выберите Azure Virtual Desktop.
  2. На странице "Виртуальный рабочий стол Azure" выберите "Создать пул узлов".
  3. Перейдите на вкладку "Основные сведения" следующим образом:
    • Имя пула хостов. В этом примере VirtualDesktops.
    • Расположение объекта Виртуального рабочего стола Azure. В этом случае Южно-Центральные США.
    • Предпочтительный тип группы приложений: выберите "Рабочий стол".
    • Тип пула размещения: выберите Pooled.
    • Алгоритм балансировки нагрузки: выберите "Ширина".
    • Максимальное ограничение сеанса: выберите 2.
  4. Нажмите кнопку "Далее": Виртуальные машины.
  5. Заполните следующую вкладку Следующая: Виртуальные машины:
    • Добавление виртуальных машин: Да
    • Требуемая группа ресурсов. В этом примере GlobalSecureAccess_Documentation.
    • Префикс имени: avd
    • Тип виртуальной машины: выберите виртуальную машину Azure.
    • Расположение виртуальной машины: южная часть США.
    • Параметры доступности: выберите "Не требуется избыточность инфраструктуры".
    • Тип безопасности: выберите надежную виртуальную машину запуска.
    • Включение безопасной загрузки: Да
    • Включение vTPM: Да
    • Изображение: В этом примере выберите Windows 11 Корпоративная для многосеансового использования + приложения Microsoft 365 версии 22H2.
    • Размер виртуальной машины: выберите стандартный D2s версии 3, 2 виртуальных ЦП, 8 ГБ памяти.
    • Количество виртуальных машин: 1
    • Виртуальная сеть: выберите виртуальную сеть, созданную на предыдущем шаге, VirtualNetwork.
    • Домен для присоединения: выберите идентификатор Microsoft Entra.
    • Введите учетные данные учетной записи администратора.
  6. Оставьте другие параметры по умолчанию и нажмите кнопку "Просмотр и создание".
  7. После завершения проверки нажмите кнопку Создать.
  8. Примерно через 30 минут пул узлов обновится, чтобы показать, что развертывание завершено.
  9. Перейдите к домашней странице Microsoft Azure и выберите "Виртуальные машины".
  10. Выберите виртуальную машину, созданную на предыдущих шагах.
  11. Выберите Подключить>Подключиться через бастион.
  12. Выберите Развернуть Бастион. На развертывание узла Бастиона требуется около 30 минут.
  13. После развертывания Бастиона введите те же учетные данные администратора, что и для создания виртуального рабочего стола Azure.
  14. Нажмите Подключиться. Запускается виртуальный рабочий стол.

Тестирование функций безопасности с помощью Виртуального рабочего стола Azure (AVD)

На этом шаге мы используем AVD для тестирования ограничений доступа к виртуальной сети.

Проверка ограничения клиента

Перед тестированием включите ограничения клиента в виртуальной сети.

  1. В Центре администрирования Microsoft Entra перейдите к разделу Глобальный безопасный доступ>Параметры>Управление сеансами.
  2. Установите переключатель Включить теги для принудительного применения ограничений арендатора в вашей сети в положение "вкл.".
  3. Выберите Сохранить.
  4. Вы можете изменить политику доступа между арендаторами, перейдя к Идентификация>Внешние идентичности>Параметры доступа между арендаторами. Дополнительные сведения см. в статье Обзор межтенантного доступа.
  5. Сохраните параметры по умолчанию, которые препятствуют входу пользователей с помощью внешних учетных записей на управляемых устройствах.

Чтобы проверить:

  1. Войдите на виртуальную машину Виртуального рабочего стола Azure, созданную на предыдущих шагах.
  2. Перейдите к www.office.com и войдите с помощью внутреннего идентификатора организации. Этот тест должен пройти успешно.
  3. Повторите предыдущий шаг, но с внешней учетной записью. Этот тест должен завершиться ошибкой из-за заблокированного доступа.
    Снимок экрана: сообщение

Восстановление исходного IP-адреса тестирования

Перед тестированием включите условный доступ.

  1. В Центре администрирования Microsoft Entra перейдите к Глобальному безопасному доступу>Параметры>Управление сеансами.
  2. Перейдите на вкладку Адаптивный доступ .
  3. Установите переключатель «Включить глобальный безопасный доступ» в положении "включено" в разделе условного доступа.
  4. Выберите Сохранить. Дополнительные сведения см. в статье о восстановлении ИСХОДНОго IP-адреса.

Чтобы протестировать вариант 1: повторите тест ограничения арендатора из предыдущего раздела.

  1. Войдите на виртуальную машину Виртуального рабочего стола Azure, созданную на предыдущих шагах.
  2. Перейдите к www.office.com и войдите с помощью внутреннего идентификатора организации. Этот тест должен пройти успешно.
  3. Повторите предыдущий шаг, но с внешней учетной записью. Этот тест должен завершиться неудачно из-за того, что исходящий IP-адрес в сообщении об ошибке поступает из общедоступного IP-адреса VPN-шлюза вместо того, чтобы запрос был проксирован SSE Microsoft в Microsoft Entra.
    Снимок экрана: сообщение

Для тестирования (вариант 2):

  1. В Центре администрирования Microsoft Entra перейдите к Global Secure Access>Monitor> журналам работоспособности удаленной сети.
  2. Выберите Добавить фильтр.
  3. Выберите исходный IP-адрес и введите общедоступный IP-адрес VPN-шлюза. Выберите Применить. Снимок экрана: страница журналов работоспособности удаленной сети с меню

Система восстанавливает IP-адрес локального оборудования (CPE) филиала. Так как VPN-шлюз представляет CPE, журналы работоспособности отображают общедоступный IP-адрес VPN-шлюза, а не IP-адрес прокси-сервера.

Удаление ненужных ресурсов

При завершении тестирования или в конце проекта рекомендуется удалить ресурсы, которые больше не нужны. Оставленные без присмотра ресурсы могут стоить вам денег. Вы можете удалить ресурсы по отдельности либо удалить всю группу ресурсов.