如何使用全球安全存取建立遠端網路

發行項
10/14/2024

遠端網路是需要網際網路連線能力的遠端位置 (例如分公司) 或網路。設定遠端網路會將位於遠端位置的使用者連線至全球安全存取。設定遠端網路之後，您可以指派流量轉送設定檔來管理公司網路流量。全球安全存取提供遠端網路連線能力，因此，您可以將網路安全性原則套用至輸出流量。

有多種方式可將遠端網路連線到全球安全存取。簡言之，您會在遠端網路的核心路由器 (稱為客戶駐地設備 (CPE)) 和最接近的全球安全存取端點之間，建立網際網路通訊協定安全性 (IPSec) 通道。所有網際網路繫結的流量都會透過遠端網路的核心路由器進行路由傳送，以在雲端中進行安全性原則評估。個別裝置上不需要安裝用戶端。

本文說明如何針對全球安全存取建立遠端網路。

必要條件

若要設定遠端網路，您必須具備：

Microsoft Entra ID 中的全球安全存取管理員角色。
產品需要授權。如需詳細資訊，請參閱什麼是全球安全存取的授權一節。如有需要，您可以購買授權或取得試用版授權。
若要使用 Microsoft 流量轉送設定檔，建議使用 Microsoft 365 E3 授權。
客戶駐地設備 (CPE) 必須支援下列通訊協定：
- 網際網路通訊協定安全性 (IPSec)
- 適用於網際網路金鑰交換 (IKE) 階段 2 協商的 GCMEAES128、GCMAES 192 或 GCMAES256 演算法
- 網際網路金鑰交換第 2 版 (IKEv2)
- 邊界閘道通訊協定 (BGP)
檢閱有效設定以設定遠端網路。
遠端網路連線解決方案搭配使用 RouteBased VPN 設定與任意對任意 (萬用字元或 0.0.0.0/0) 流量選取器。請確定您的 CPE 已設定正確的流量選取器。
遠端網路連線解決方案使用 Responder 模式。您的 CPE 必須起始連線。

已知的限制

每個租用戶的遠端網路數目限制為 10。每個遠端網路的裝置連結數目限制為四個。
Microsoft 流量可透過遠端網路連線來存取，無需全球安全存取用戶端。不過，不會強制執行條件式存取原則。換句話說，只有在使用者具有全球安全存取用戶端時，才會強制執行適用於全球安全存取 Microsoft 流量的條件式存取原則。
對於 Microsoft Entra 私人存取，您必須使用全球安全存取用戶端。遠端網路連線僅支援 Microsoft Entra 網際網路存取。

高階步驟

您可以在 Microsoft Entra 系統管理中心或透過 Microsoft Graph API 建立遠端網路。

概括而言，建立遠端網路並設定作用中的 IPsec 通道有五個步驟：

基本：輸入遠端網路的 [名稱] 和 [區域] 等基本詳細資料。區域指定 IPsec 通道的另一端。通道的另一端是路由器或 CPE。
連線：將裝置連結 (或 IPsec 通道) 新增至遠端網路。在此步驟中，您會在 Microsoft Entra 系統管理中心輸入路由器的詳細資料，這會告知 Microsoft IKE 協商的來源。
流量轉送設定檔：產生流量轉送設定檔與遠端網路的關聯，指定要透過 IPsec 通道取得的流量。透過 BGP 使用動態路由。
檢視 CPE 連線設定：擷取 IPsec 通道 Microsoft 端的詳細資料。在 [連線] 步驟中，您已提供路由器的詳細資料給 Microsoft。在此步驟中，要擷取連線設定的 Microsoft 端。
設定 CPE：記住上一個步驟的 Microsoft 連線設定，然後輸入到路由器或 CPE 的管理主控台中。此步驟不在 Microsoft Entra 系統管理中心。

Microsoft Entra 系統管理中心
Microsoft Graph API

遠端網路會設定於三個索引標籤上。您必須依序完成每個索引標籤。完成索引標籤之後，從頁面頂端選取下一個索引標籤，或選取頁面底部的 [下一步] 按鈕。

基本概念

第一個步驟是提供遠端網路的名稱和位置。需要完成此索引標籤。

以全球安全存取管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [全球安全存取]>[連線]>[遠端網路]。
選取 [建立遠端網路] 按鈕，然後提供詳細資料。
- 名稱
- 區域

建立裝置連結流程的 [基本] 索引標籤的螢幕擷取畫面。

連線能力

[連線能力] 索引標籤是您為遠端網路新增裝置連結之處。您可以在建立遠端網路之後新增裝置連結。您必須為每個裝置連結提供裝置類型、CPE 的公用 IP 位址、邊界閘道協定 (BGP) 位址和自發系統編號 (ASN)。

完成 [連線能力] 索引標籤所需的詳細資料可能相當複雜。如需詳細資訊，請參閱如何管理遠端網路裝置連結。

流量轉送設定檔

當您建立遠端網路時，可以將遠端網路指派給流量轉送設定檔。您也可以稍後指派遠端網路。如需詳細資訊，請參閱流量轉送設定檔。

選取 [下一步] 按鈕，或選取 [流量設定檔] 索引標籤。
選取適當的流量轉送設定檔。
選取 [檢閱 + 建立] 按鈕。

流程中的最後一個索引標籤可用於檢閱您提供的所有設定。檢閱此處提供的詳細資料，然後選取 [建立遠端網路] 按鈕。

檢視 CPE 連線設定

您的所有遠端網路都會顯示在 [遠端網路] 頁面上。選取 [連線詳細資料] 資料行中的 [檢視設定] 連結，以檢視您的設定詳細資料。

這些詳細資料包含您用來設定 CPE 之雙向通訊通道 Microsoft 端的連線資訊。

此流程詳述於如何設定客戶駐地設備。

設定 CPE

此步驟是在 CPE 的管理主控台中執行，而非 Microsoft Entra 系統管理中心。在您完成此步驟之前，不會設定 IPsec。 IPsec 是雙向通訊。成功設定通道之前，雙方會進行 IKE 協商。因此，請勿錯過此步驟。

您可以在 /beta 端點上，使用 Microsoft Graph 來檢視和管理全球安全存取的遠端網路。建立遠端網路並指派流量轉送設定檔是個別的 API 呼叫。

登入 Graph 總管。
選取 POST 作為 HTTP 方法。
選取 BETA 作為 AP 版本。

執行查詢。

POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks
Content-Type: application/json

{
    "name": "Bellevue branch w/ device link",
    "region": "canadaEast",
    "forwardingProfiles": [
        {
            "id": "1adaf535-1e31-4e14-983f-2270408162bf"
        }
    ],
    "deviceLinks": [
        {
            "name": "CPE1",
            "ipAddress": "52.13.21.25",
            "bandwidthCapacityInMbps": "mbps500",
            "deviceVendor": "barracudaNetworks",
            "bgpConfiguration": {
                "localIpAddress": "192.168.1.2",
                "peerIpAddress": "10.1.1.2",
                "asn": 65533
            },
            "redundancyConfiguration": {
                "zoneLocalIpAddress": null,
                "redundancyTier": "noRedundancy"
            },
            "tunnelConfiguration": {
                "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default",
                "preSharedKey": "test123"
            }
        }
    ]
}

指派流量轉送設定檔

使用 Microsoft Graph API 將流量轉送設定檔關聯至遠端網路是個兩步驟的流程。首先，尋找流量設定檔的識別碼。所有租用戶的識別碼都不同。其次，將流量轉送設定檔關聯至所需的遠端網路。

登入 Graph 總管。
從下拉式清單中選取 PATCH 作為 HTTP 方法。
將 API 版本選取為搶鮮版 (Beta)。

輸入查詢。

GET https://graph.microsoft.com/beta/networkaccess/forwardingprofiles

選取 [執行查詢]。
尋找所需流量轉送設定檔的 ID。
從下拉式清單中選取 PATCH 作為 HTTP 方法。

輸入查詢。

    PATCH https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04
    Content-Type: application/json

    {
        "name": "Test Redmond branch"
    }

確認您的遠端網路設定

建立遠端網路時，需要考慮並確認一些事項。您可能需要仔細檢查一些設定。

驗證 IKE 密碼編譯設定檔：為裝置連結所設定的密碼編譯設定檔 (IKE 階段 1 和階段 2 演算法) 應該符合已在 CPE 上設定的內容。如果您選擇了 [預設 IKE 原則]，請確定已使用遠端網路設定參考文章中指定的密碼編譯設定檔來設定您的 CPE。
驗證預先共用金鑰：比較您在 Microsoft 全球安全存取中建立裝置連結時所指定的預先共用金鑰 (PSK)，以及您在 CPE 上指定的 PSK。在進行 [新增連結] 流程的過程中，會在 [安全性] 索引標籤上新增此詳細資料。如需詳細資訊，請參閱如何管理遠端網路裝置連結。
確認本機和對等 BGP IP 位址：您用來設定 CPE 的公用 IP 和 BGP 位址，必須符合您在 Microsoft 全球安全存取中建立裝置連結時所使用的位址。
- 如需無法使用的保留值，請參閱有效的 BGP 位址清單。
- 本機和對等 BGP 位址在 CPE 與在全球安全存取中輸入的內容之間是相反的。
  - CPE：本機 BGP IP 位址 = IP1，對等 BGP IP 位址 = IP2
  - 全球安全存取：本機 BGP IP 位址 = IP2，對等 BGP IP 位址 = IP1
- 選擇未與您內部部署網路重疊之全球安全存取的 IP 位址。
驗證 ASN：全球安全存取會使用 BGP 來公告兩個自發系統之間的路由：您的網路和 Microsoft 的網路。這些自發系統應該有不同的自發系統編碼 (ASN)。
- 如需無法使用的保留值，請參閱有效的 ASN 值清單。
- 在 Microsoft Entra 系統管理中心建立遠端網路時，使用您網路的 ASN。
- 設定 CPE 時，使用 Microsoft 的 ASN。移至 [全球安全存取]>[裝置]>[遠端網路]。選取 [連結]，然後確認 [連結 ASN] 資料行中的值。
驗證您的公用 IP 位址：在測試環境或實驗室設定中，CPE 的公用 IP 位址可能會意外變更。此變更可能導致 IKE 協商失敗，即使一切都維持不變也一樣。
- 如果您遇到此情況，請完成下列步驟：
  - 更新 CPE 密碼編譯設定檔中的公用 IP 位址。
  - 移至 [全球安全存取]>[裝置]>[遠端網路]。
  - 選取適當的遠端網路、刪除舊通道，然後使用更新的公用 IP 位址重新建立新通道。
確認 Microsoft 的公用 IP 位址：您刪除裝置連結和/或建立新的連結時，您可能會在該遠端網路的 [檢視設定] 中，取得該連結的另一個公用 IP 端點。這項變更可能會導致 IKE 協商失敗。若遇到此案例，請更新 CPE 的密碼編譯設定檔中的公用 IP 位址。
確認 CPE 上的 BGP 連線設定：假設您為遠端網路建立了一個裝置連結。 Microsoft 會提供您其閘道的公用 IP 位址 (例如 PIP1) 和 BGP 位址 (例如 BGP1)。您選取該遠端網路的 [檢視設定] 時，您可以在 jSON blob 的 localConfigurations 下看到此連線資訊。在您的 CPE 上，請確定您有一個靜態路由，目的地為透過使用 PIP1 所建立的通道介面傳送至 BGP1。路由是必要的，讓 CPE 了解我們透過您使用 Microsoft 建立的 IPsec 通道所發佈的 BGP 路由。
驗證防火牆規則：對於防火牆中的 IPsec 通道和 BGP 連線，允許使用者資料包通訊協定 (UDP) 埠 500 和 4500 及傳輸控制通訊協定 (TCP) 埠 179。
連接埠轉送：在某些情況下，網際網路服務提供者 (ISP) 路由器也可以是網路位址轉譯 (NAT) 裝置。 NAT 會將家用裝置的私人 IP 位址轉換為公用網際網路路由的裝置。
- 一般而言，NAT 裝置會同時變更 IP 位址和連接埠。此連接埠變更是問題的根本。
- 為了讓 IPsec 通道能夠運作，全球安全存取會使用連接埠 500。此連接埠為 IKE 協商發生之處。
- 如果 ISP 路由器會將此連接埠變更為其他連接埠，則全球安全存取無法識別此流量且協商會失敗。
- 因此，IKE 協商的第 1 階段會失敗，且不會建立通道。
- 若要補救此失敗，請完成裝置上的連接埠轉送，這會告知 ISP 路由器不要變更連接埠，並依原樣轉送。

下一步

開始使用 Microsoft Entra 網際網路存取的下一個步驟是使用條件式存取原則將目標設定為 Microsoft 流量設定檔。

如需遠端網路的詳細資訊，請參閱下列文章：

共用方式為