Genel Güvenli Erişim ile uzak ağ oluşturma

Uzak ağlar, şube ofisi gibi uzak konumlar veya İnternet bağlantısı gerektiren ağlardır. Uzak ağları ayarlamak, uzak konumlardaki kullanıcılarınızı Genel Güvenli Erişim'e bağlar. Uzak ağı yapılandırdıktan sonra, kurumsal ağ trafiğinizi yönetmek için bir trafik iletme profili atayabilirsiniz. Genel Güvenli Erişim, giden trafiğinize ağ güvenlik ilkeleri uygulayabilmeniz için uzak ağ bağlantısı sağlar.

Uzak ağları Genel Güvenli Erişim'e çeşitli yollarla bağlayabilirsiniz. Özetle, uzak ağınızda ve en yakın Genel Güvenli Erişim uç noktasında müşteri şirket içi donanım (CPE) olarak bilinen çekirdek yönlendirici arasında bir İnternet Protokolü Güvenliği (IPSec) tüneli oluşturuyorsunuz. Bulutta güvenlik ilkesi değerlendirmesi için uzak ağın çekirdek yönlendiricisi üzerinden İnternet'e bağlı tüm trafik yolları. İstemciyi tek tek cihazlara yüklemeniz gerekmez.

Bu makalede, Genel Güvenli Erişim için uzak ağın nasıl oluşturulacağı açıklanmaktadır.

Önkoşullar

Uzak ağları yapılandırmak için şunlarınız olmalıdır:

• Microsoft Entra ID Global Güvenli Erişim Yöneticisi rolü.
• Ürün için lisanslama gerekir. Ayrıntılar için Genel Güvenli Erişim nedir?'nin lisanslama bölümüne bakın. Gerekirse lisans satın alabilir veya deneme lisansları alabilirsiniz.
• Müşteri şirket içi ekipmanı (CPE) aşağıdaki protokolleri desteklemelidir:
  • İnternet Protokolü Güvenliği (IPSec)
  • İnternet Anahtarı Exchange (IKE) 2. aşama anlaşması için GCMEAES128, GCMAES 192 veya GCMAES256 algoritmaları
  • İnternet Anahtar Değişimi Sürüm 2 (IKEv2)
  • Sınır Ağ Geçidi Protokolü (BGP)
• Uzak ağları ayarlamak için geçerli yapılandırmaları gözden geçirin.
• Uzak ağ bağlantısı çözümü, herhangi bir trafik seçicisi (joker karakter veya 0.0.0.0/0) ile RouteBased VPN yapılandırmasını kullanır. CPE'nizde doğru trafik seçicinin ayarlandığından emin olun.
• Uzak ağ bağlantısı çözümü Yanıtlayıcı modlarını kullanır. CPE'nizin bağlantıyı başlatması gerekir.

Bilinen sınırlamalar

Bilinen sorunlar ve sınırlamalar hakkında ayrıntılı bilgi için bkz. Genel Güvenli Erişim için bilinen sınırlamalar.

Üst düzey adımlar

Microsoft Entra yönetim merkezi veya Microsoft Graph API aracılığıyla uzak ağ oluşturabilirsiniz.

Yüksek düzeyde, uzak ağ oluşturmak ve etkin bir IPsec tüneli yapılandırmak için beş adım vardır:

1. Temel bilgiler: Uzak ağınızın Adı ve Bölgesi gibi temel ayrıntıları girin. Bölge , IPsec tünelinin diğer ucunu istediğiniz yeri belirtir. Tünelin diğer ucu yönlendiriciniz veya CPE'nizdir.

2. Bağlantı: Uzak ağa bir cihaz bağlantısı (veya IPsec tüneli) ekleyin. Bu adımda, yönlendiricinizin ayrıntılarını Microsoft Entra yönetici merkezine girersiniz ve bu, Microsoft'un IKE müzakerelerinin nereden gelmesini beklemesi gerektiğini belirtir.

3. Trafik iletme profili: Bir trafik iletme profilini, IPsec tüneli üzerinden hangi trafiğin alınacaklarını belirten uzak ağ ile ilişkilendirin. Genel Güvenli Erişim, BGP aracılığıyla dinamik yönlendirme kullanır.

4. CPE bağlantı yapılandırmasını Görüntüle: Microsoft'un tünel ucuna ait IPsec tüneli ayrıntılarını alın. Connectivity adımında yönlendiricinizin ayrıntılarını Microsoft sağladınız. Bu adımda, bağlantı yapılandırmasının Microsoft tarafından sağlanan kısmını alırsınız.

5. CPE ayarlayın: Önceki adımda Microsoft bağlantı yapılandırmasını alın ve yönlendiricinizin veya CPE'nizin yönetim konsoluna girin. Bu adım Microsoft Entra yönetim merkezinde değildir.

Microsoft Entra yönetim merkezi

Uzak ağları üç sekmede yapılandırabilirsiniz. Her sekmeyi sırayla tamamlayın. Her sekmeyi tamamladıktan sonra, sayfanın üst kısmından bir sonraki sekmeyi seçin veya sayfanın altındaki İleri düğmesini seçin.

Temel bilgiler

Temel Bilgiler sekmesinde, uzak ağınızın adını ve konumunu girin. Bu sekmeyi tamamlamanız gerekir.

1. Microsoft Entra yönetim merkeziGlobal Güvenli Erişim Yöneticisi olarak oturum açın.
2. Genel Güvenli Erişim>> göz atın.
3. Uzak ağ oluştur'u seçin ve ayrıntıları girin.
   • Ad
   • Bölge

Bağlantı

Uzak ağ için cihaz bağlantılarını Bağlantı sekmesine ekleyin. Uzak ağı oluşturduktan sonra cihaz bağlantıları ekleyebilirsiniz. Her cihaz bağlantısı için cihaz türünü, CPE'nizin genel IP adresini, sınır ağ geçidi protokolü (BGP) adresini ve otonom sistem numarasını (ASN) girin.

Bağlantı sekmesini tamamlamak için gereken ayrıntılar karmaşık olabilir. Daha fazla bilgi için bkz . Uzak ağ cihaz bağlantılarını yönetme.

Trafik yönlendirme profilleri

Uzak ağı oluştururken uzak ağı bir trafik iletme profiline atayabilirsiniz. Uzak ağı daha sonra da atayabilirsiniz. Daha fazla bilgi için Trafik iletme profilleri'ne bakın.

1. İleri düğmesini veya Trafik profilleri sekmesini seçin.

2. Uygun trafik iletme profilini seçin.

3. Gözden geçir + oluştur düğmesini seçin.

   

Uzak ağ cihaz bağlantılarında trafik profili uygulaması

Genel Güvenli Erişim, uzak ağ ile ilişkilendirilmiş IPsec tünelleri gibi tüm cihaz bağlantıları için trafik iletme profillerini zorunlu kılmaktadır. Yalnızca etkin ve ilişkili bir trafik iletme profiliyle eşleşen trafik türlerini iletir. Genel Güvenli Erişim ağ geçidi diğer tüm trafiği bırakır.

Bu zorlama şu anlama gelir:

• Yalnızca Microsoft trafik profilini uzak ağ ile ilişkilendirirseniz, Genel Güvenli Erişim ağ geçidi cihaz bağlantısı üzerinden gönderilen Microsoft olmayan trafiği (genel İnternet trafiği gibi) bırakır.
• Yalnızca Internet Access trafik profili ile uzak ağı ilişkilendirirseniz, Genel Güvenli Erişim ağ geçidi cihaz bağlantısı üzerinden gönderilen herhangi bir Microsoft trafiğini engeller.

Önemli

İstenmeyen trafik kaybını önlemek için, lisansınız izin verirse bothMicrosoft trafik profili ve Internet Access trafik profili uzak ağınızla ilişkilendirin. Bu yapılandırma, uygun profilin ağ geçidine sessizce bırakmak yerine IPsec tüneli üzerinden iletilen tüm trafiği işlemesini sağlar.

Kullanılabilir trafik iletme profilleri ve yapılandırmalarıyla ilgili ayrıntılar için bkz. Genel Güvenli Erişim trafik iletme profilleri.

İşlemin son sekmesi, sağladığınız tüm ayarları gözden geçirmektir. Burada sağlanan ayrıntıları gözden geçirin ve Uzak ağ oluştur düğmesini seçin.

CPE bağlantı yapılandırmasını görüntüleme

Tüm uzak ağlarınız Uzak ağ sayfasında görünür. Yapılandırma ayrıntılarınızı görüntülemek için Bağlantı ayrıntıları sütununda yapılandırmayı görüntüle bağlantısını seçin.

Bu ayrıntılar, CPE'nizi ayarlamak için kullandığınız çift yönlü iletişim kanalının Microsoft tarafındaki bağlantı bilgilerini içerir.

Bu işlem, Müşteri yerleşim ekipmanınızı yapılandırma bölümünde ayrıntılı olarak ele alınmıştır.

CPE'nizi ayarlama

Bu adımı Microsoft Entra yönetim merkezi değil CPE'nizin yönetim konsolunda gerçekleştirirsiniz. Bu adımı tamamlayana kadar IPSec'iniz ayarlanmaz . IPsec çift yönlü bir iletişimdir. Tünel başarıyla kurulmadan önce iki taraf arasında IKE görüşmeleri gerçekleşir. Bu adımı atlamayın.

Tip

Uzak ağların dayanıklılığını geliştirme yönergeleri için bkz. Genel Güvenli Erişim uzak ağ dayanıklılığı için en iyi yöntemler.

Microsoft Graph API

/beta uç noktasındaki Microsoft Graph kullanarak Genel Güvenli Erişim uzak ağlarını görüntüleyebilir ve yönetebilirsiniz. Uzak ağ oluşturma ve trafik iletme profili atama ayrı API çağrılarıdır.

1. Graph Explorer'da oturum açın.

2. POST öğesini yöntem olarak seçin HTTP.

3. BETA öğesini API sürümü olarak seçin.

4. Sorguyu çalıştırın.

   POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks
   Content-Type: application/json
   
   {
       "name": "Bellevue branch w/ device link",
       "region": "canadaEast",
       "forwardingProfiles": [
           {
               "id": "1adaf535-1e31-4e14-983f-2270408162bf"
           }
       ],
       "deviceLinks": [
           {
               "name": "CPE1",
               "ipAddress": "52.13.21.25",
               "bandwidthCapacityInMbps": "mbps500",
               "deviceVendor": "barracudaNetworks",
               "bgpConfiguration": {
                   "localIpAddress": "192.168.1.2",
                   "peerIpAddress": "10.1.1.2",
                   "asn": 65533
               },
               "redundancyConfiguration": {
                   "zoneLocalIpAddress": null,
                   "redundancyTier": "noRedundancy"
               },
               "tunnelConfiguration": {
                   "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default",
                   "preSharedKey": "test123"
               }
           }
       ]
   }
   

Trafik iletim profili ata

Microsoft Graph API kullanarak bir trafik iletme profilini uzak ağınıza ilişkilendirmek iki adımlı bir işlemdir. İlk olarak, trafik profilinin kimliğini bulun. Kimlik tüm kiracılar için farklıdır. İkincisi, trafik iletme profilini istediğiniz uzak ağ ile ilişkilendirin.

1. Graph Explorer'da oturum açın.

2. Açılır listeden PATCH öğesini HTTP yöntemi olarak seçin.

3. API sürümünü beta için seçin.

4. Sorguyu girin.

   GET https://graph.microsoft.com/beta/networkaccess/forwardingprofiles 
   

5. Sorguyu çalıştır'ı seçin.

6. ID İstenen trafik iletme profilini bulun.

7. Açılır listeden PATCH öğesini HTTP yöntemi olarak seçin.

8. Sorguyu girin.

       PATCH https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04
       Content-Type: application/json
   
       {
           "name": "Test Redmond branch"
       }
   

Uzak ağ cihaz bağlantılarında trafik profili uygulama

Genel Güvenli Erişim, uzak ağ ile ilişkilendirilmiş IPsec tünelleri gibi tüm cihaz bağlantıları için trafik iletme profillerini zorunlu kılmaktadır. Yalnızca etkin ve ilişkili bir trafik iletme profiliyle eşleşen trafik türlerini iletir. Genel Güvenli Erişim ağ geçidi diğer tüm trafiği bırakır.

Bu zorlama şu anlama gelir:

• Yalnızca Microsoft trafik profilini uzak ağ ile ilişkilendirirseniz, Genel Güvenli Erişim ağ geçidi cihaz bağlantısı üzerinden gönderilen Microsoft olmayan trafiği (genel İnternet trafiği gibi) bırakır.
• Eğer yalnızca Internet Access trafik profilini uzak ağ ile ilişkilendirirseniz, Global Secure Access ağ geçidi cihaz bağlantısı üzerinden gönderilen tüm Microsoft trafiğini keser.

Önemli

İstenmeyen trafik kaybını önlemek için, lisansınız izin verirse bothMicrosoft trafik profili ve Internet Access trafik profili uzak ağınızla ilişkilendirin. Bu yapılandırma, uygun profilin ağ geçidine sessizce bırakmak yerine IPsec tüneli üzerinden iletilen tüm trafiği işlemesini sağlar.

Kullanılabilir trafik iletme profilleri ve yapılandırmalarıyla ilgili ayrıntılar için bkz. Genel Güvenli Erişim trafik iletme profilleri.

Uzak ağ yapılandırmalarınızı doğrulama

Uzak ağlar oluştururken birkaç ayarı göz önünde bulundurun ve doğrulayın. Bazı ayarları iki kez denetlemeniz gerekebilir.

• IKE şifreleme profilini doğrulama: Cihaz bağlantısı için ayarlanan şifreleme profili (IKE aşama 1 ve 2. aşama algoritmaları) CPE ayarıyla eşleşmelidir. Varsayılan IKE ilkesini seçerseniz, CPE'nizin Uzak ağ yapılandırmaları başvuru makalesinde belirtilen şifreleme profiliyle ayarlandığından emin olun.

• Önceden paylaşılan anahtarı doğrulama: Microsoft Genel Güvenli Erişim'de cihaz bağlantısını oluştururken belirttiğiniz önceden paylaşılan anahtarı (PSK) CPE'nizde belirttiğiniz PSK ile karşılaştırın. Bağlantı ekleme işlemi sırasında Güvenlik sekmesine bu ayrıntıyı ekleyin. Daha fazla bilgi için bkz . Uzak ağ cihaz bağlantılarını yönetme.

• Verify local and peer BGP IP addresss: CPE'yi yapılandırmak için kullandığınız genel IP ve BGP adresi, Microsoft Genel Güvenli Erişim'de cihaz bağlantısı oluştururken kullandığınız ip adresiyle eşleşmelidir.

  • Kullanamayacağınız ayrılmış değerler için geçerli BGP adresleri listesine bakın.
    • Yerel ve eş BGP adresleri CPE ile Genel Güvenli Erişim'e girdiğiniz adresler arasında tersine çevrilir.
    • CPE: Yerel BGP IP adresi = IP1, Eş BGP IP adresi = IP2
    • Genel Güvenli Erişim: Yerel BGP IP adresi = IP2, Eş BGP IP adresi = IP1
  • Genel Güvenli Erişim için şirket içi ağınızla çakışmayan bir IP adresi seçin.

• Verify ASN: Global Secure Access, BGP kullanarak iki otonom sistem arasındaki yolları tanıtır: ağınız ve Microsoft'un ağı. Bu otonom sistemlerin farklı Otonom Sistem Numaraları (ASN) olmalıdır.

  • Rezerve edilmiş ve kullanılamayacak değerleri görüntülemek için geçerli ASN değerleri listesine bakın.
  • Microsoft Entra yönetim merkezi uzak ağ oluştururken ağınızın ASN'sini kullanın.
  • CPE'nizi yapılandırırken Microsoft ASN'sini kullanın. Genel Güvenli Erişim>> gidin. Bağlantılar'ı seçin ve Bağlantı ASN sütunundaki değeri onaylayın.

• Genel IP adresinizi doğrulayın: Bir test ortamında veya laboratuvar kurulumunda, CPE'nizin genel IP adresi beklenmedik bir şekilde değişebilir. Bu değişiklik, her şey aynı kalsa bile IKE anlaşmalarının başarısız olmasına neden olabilir.

  • Bu senaryoyla karşılaşırsanız aşağıdaki adımları tamamlayın:
    • CPE'nizin şifreleme profilindeki genel IP adresini güncelleştirin.
    • Genel Güvenli Erişim>>gidin.
    • Uygun uzak ağı seçin, eski tüneli silin ve güncelleştirilmiş genel IP adresiyle yeni bir tünel oluşturun.

• Microsoft genel IP adresini doğrulama: Bir cihaz bağlantısını sildiğinizde veya yeni bir bağlantı oluşturduğunuzda, o uzak ağ için Görüntüle yapılandırması'nda bu bağlantının başka bir genel IP uç noktasını görebilirsiniz. Bu değişiklik IKE anlaşması başarısız olmasına neden olabilir. Bu senaryoyla karşılaşırsanız CPE'nizin şifreleme profilindeki genel IP adresini güncelleştirin.

• CPE'nizde BGP bağlantı ayarını doğrulayın: Uzak ağ için bir cihaz bağlantısı oluşturduğunuzu varsayalım. Microsoft, ağ geçidinin genel IP adresini (PIP1 gibi) ve BGP adresini (BGP1 gibi) sağlar. Bu bağlantı bilgileri, söz konusu uzak ağ için YapılandırmayılocalConfigurationsgördüğünüz jSON blobunun altında bulunur. CPE'nizde, PIP1 ile oluşturulan tünel arabirimi üzerinden BGP1'e yönelik bir statik yolunuz olduğundan emin olun. CPE'nin Microsoft ile oluşturduğunuz IPsec tüneli üzerinden yayımladığımız BGP yollarını öğrenebilmesi için yol gereklidir.

• Güvenlik duvarı kurallarını doğrulama: Güvenlik duvarınızda IPsec tüneli ve BGP bağlantısı için Kullanıcı Veri Birimi Protokolü (UDP) bağlantı noktası 500 ve 4500 ve İletim Denetimi Protokolü (TCP) bağlantı noktası 179'a izin verin.

• Bağlantı noktası iletme: Bazı durumlarda, İnternet Servis Sağlayıcısı (ISS) yönlendiricisi aynı zamanda bir ağ adresi çevirisi (NAT) cihazıdır. NAT, ev cihazlarının özel IP adreslerini genel İnternet'e yönlendirilebilir bir cihaza dönüştürür.

  • Genellikle NAT cihazı hem IP adresini hem de bağlantı noktasını değiştirir. Bu bağlantı noktası değişikliği sorunun köküdür.
  • IPsec tünellerinin çalışması için Genel Güvenli Erişim 500 numaralı bağlantı noktasını kullanır. Bu bağlantı noktası, IKE anlaşması yapılan yerdir.
  • İSS yönlendiricisi bu bağlantı noktasını başka bir şeyle değiştirirse, Genel Güvenli Erişim bu trafiği belirleyemez ve müzakere başarısız olur.
  • Sonuç olarak, IKE anlaşması 1. aşama başarısız olur ve tünel oluşturulmaz.
  • Bu hatayı düzeltmek için, ISS yönlendiricisine bağlantı noktalarını değiştirmemesi ve oldukları gibi yönlendirmesi gerektiğini söyleyen cihazınızdaki bağlantı yönlendirme işlemini tamamlayın.

Sonraki adımlar

Microsoft Entra İnternet Erişimi kullanmaya başlamak için koşullu erişim ilkesi ile Microsoft trafik profilini tarihteleyin.

Uzak ağlar hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

• Uzak ağları listeleme
• Uzak ağları yönetme
• Uzak ağ cihaz bağlantıları eklemeyi öğrenin