Erstellen eines Remotenetzwerks mit einer benutzerdefinierten IKE-Richtlinie für den globalen sicheren Zugriff

Der IPSec-Tunnel ist eine bidirektionale Kommunikationsmethode. Dieser Artikel enthält die Schritte zum Einrichten des Kommunikationskanals in Microsoft Entra Admin Center und dem Microsoft Graph-API. Die andere Seite der Kommunikation wird auf den Geräten Ihres Kunden vor Ort (Customer Premises Equipment, CPE) konfiguriert.

Voraussetzungen

Zum Erstellen eines Remotenetzwerks mit einer benutzerdefinierten IKE-Richtlinie (Internet Key Exchange) benötigen Sie Folgendes:

• Die Rolle Administrator für globalen sicheren Zugriff in Microsoft Entra ID.
• Die Konnektivitätsinformationen wurden vom Global Secure Access-Onboarding empfangen.
• Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.

So erstellen Sie ein Remotenetzwerk mit einer benutzerdefinierten IKE-Richtlinie

Wenn Sie ihrem Remotenetzwerk benutzerdefinierte IKE-Richtliniendetails hinzufügen möchten, können Sie dies tun, wenn Sie die Geräteverbindung zu Ihrem Remotenetzwerk hinzufügen. Sie können diesen Schritt im Microsoft Entra Admin Center oder mit der Microsoft Graph-API ausführen.

Microsoft Entra Admin Center

So erstellen Sie ein Remotenetzwerk mit einer benutzerdefinierten IKE-Richtlinie im Microsoft Entra Admin Center:

1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.

2. Navigieren Sie zu Globaler sicherer Zugriff>Verbinden>Remotenetzwerke.

3. Wählen Sie Remotenetzwerk erstellen aus.

4. Geben Sie einen Namen und eine Region für Ihr Remote-Netzwerk an, und wählen Sie die Schaltfläche Weiter: Verbindung aus.

5. Wählen Sie + Link hinzufügen aus, um die Verbindungsdetails Ihres CPE hinzuzufügen.

Verbindung hinzufügen – Registerkarte „Allgemein“

Auf der Registerkarte „Allgemein“ müssen einige Details eingegeben werden. Achten Sie genau auf die Peer- und lokale BGP-Adresse (Border Gateway Protocol). Die Peer- und lokalen Details werden je nachdem, wo die Konfiguration abgeschlossen wird, umgekehrt.

1. Geben Sie die folgenden Details ein:

   • Verbindungsname: Name Ihrer CPE.
   • Gerätetyp: Wählen Sie eine Geräteoption aus der Dropdownliste aus.
   • Geräte-IP-Adresse: Öffentliche IP-Adresse Ihres Geräts.
   • Geräte-BGP-Adresse: Geben Sie die BGP-IP-Adresse Ihres CPE ein.
     • Diese Adresse wird als die lokale BGP-IP-Adresse auf den CPE eingegeben.
   • Geräte-ASN: Geben Sie die autonome Systemnummer (ASN) des CPE an.
     • Eine BGP-fähige Verbindung zwischen zwei Netzwerkgateways erfordert, dass sie über unterschiedliche ASNs verfügen.
     • Reservierte Werte, die nicht verwendet werden können, finden Sie in der Liste gültiger ASN-Werte.
   • Redundanz: Wählen Sie entweder Keine Redundanz oder Zonenredundanz für Ihren IPSec-Tunnel aus.
   • Zonenredundante lokale BGP-Adresse: Dieses optionale Feld wird nur angezeigt, wenn Sie Zonenredundanz auswählen.
     • Geben Sie eine BGP-IP-Adresse ein, die nicht Teil des lokalen Netzwerks ist, in dem sich Ihre CPE befindet, und die sich von der lokalen BGP-Adresse unterscheidet.
   • Bandbreitenkapazität (MBit/s): Geben Sie die Tunnelbandbreite an. Verfügbare Optionen sind 250, 500, 750 und 1.000 MBit/s.
   • Lokale BGP-Adresse: Geben Sie eine BGP-IP-Adresse ein, die nicht Teil Ihres lokalen Netzwerks ist, in dem sich Ihr CPE befindet.
     • Angenommen, Ihr lokales Netzwerk hat die Adresse 10.1.0.0/16. Dann können Sie 10.2.0.4 als lokale BGP-Adresse verwenden.
     • Diese Adresse wird als Peer-BGP eingegebenIP-Adresse auf Ihren CPE.
     • Reservierte Werte, die nicht verwendet werden können, finden Sie in der Liste gültiger BGP-Adressen.

2. Wählen Sie Weiter aus.

Verbindung hinzufügen – Registerkarte „Details“

Wichtig

Sie müssen sowohl eine Kombination aus Phase 1 als auch Phase 2 für Ihre CPE angeben.

1. IKEv2 ist standardmäßig aktiviert. Derzeit wird nur IKEv2 unterstützt.

2. Ändern Sie die IPSec/IKE-Richtlinie in Benutzerdefiniert.

3. Wählen Sie Ihre Phase-1-Kombinationsdetails für Verschlüsselung, IKEv2-Integrität und DHGroup aus.

   • Die Kombination von Details, die Sie auswählen, muss mit den verfügbaren Optionen übereinstimmen, die im Referenzartikel Gültige Konfigurationen des Remotenetzwerks aufgeführt sind.

4. Wählen Sie Ihre Phase-2-Kombinationen für IPsec-Verschlüsselung, IPsec-Integrität, PFS-Gruppe und SA-Lebensdauer (Sekunden) aus.

   • Die Kombination von Details, die Sie auswählen, muss mit den verfügbaren Optionen übereinstimmen, die im Referenzartikel Gültige Konfigurationen des Remotenetzwerks aufgeführt sind.

5. Unabhängig davon, ob Sie Standard oder Benutzerdefiniert auswählen, muss die ipSec/IKE-Richtlinie, die Sie angeben, mit der Kryptorichtlinie auf Ihrer CPE übereinstimmen.

6. Wählen Sie Weiter aus.

   

Registerkarte „Sicherheit“ von „Verbindung hinzufügen“

1. Geben Sie den vorinstallierten Schlüssel (Pre-shared key, PSK) und den vorinstallierten Schlüssel (Pre-Shared Key, PSK) für die Zonenredundanz ein. Derselbe geheime Schlüssel muss auf Ihrem jeweiligen CPE verwendet werden. Das Feld „Vorinstallierter Schlüssel (Pre-Shared Key, PSK) für Zonenredundanz“ wird nur angezeigt, wenn Redundanz auf der ersten Seite beim Erstellen des Links festgelegt wird.
2. Wählen Sie Speichern.

Microsoft Graph-API

Remotenetzwerke mit einer benutzerdefinierten IKE-Richtlinie können mit Microsoft Graph auf dem /beta-Endpunkt erstellt werden.

1. Melden Sie sich bei Graph Explorer an.
2. Wählen Sie in der Dropdown-Liste POST als HTTP-Methode aus.
3. Legen Sie für die API-Version Beta fest.
4. Fügen Sie die folgende Abfrage hinzu, und wählen Sie dann Abfrage ausführen aus.

    POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04/deviceLinks
Content-Type: application/json

{
    "name": "custom link",
    "ipAddress": "114.20.4.14",
    "deviceVendor": "ciscoMeraki",
    "tunnelConfiguration": {
        "saLifeTimeSeconds": 300,
        "ipSecEncryption": "gcmAes128",
        "ipSecIntegrity": "gcmAes128",
        "ikeEncryption": "aes128",
        "ikeIntegrity": "sha256",
        "dhGroup": "ecp384",
        "pfsGroup": "ecp384",
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Custom",
        "preSharedKey": "SHAREDKEY"
    },
    "bgpConfiguration": {
        "localIpAddress": "10.1.1.11",
        "peerIpAddress": "10.6.6.6",
        "asn": 65000
    },
    "redundancyConfiguration": {
        "redundancyTier": "zoneRedundancy",
        "zoneLocalIpAddress": "10.1.1.12"
    },
    "bandwidthCapacityInMbps": "mbps250"
}

Nächste Schritte

• Verwalten von Remotenetzwerken
• Verwalten von Remotenetzwerk-Geräteverbindungen