Compartir a través de

Simulación de la conectividad de red remota mediante Azure vWAN

  • Artículo

En este artículo se explica cómo simular la conectividad de red remota mediante una red remota de área extensa virtual (vWAN). Si desea simular la conectividad de red remota mediante una puerta de enlace de red virtual (VNG) de Azure, consulte el artículo Simulate remote network connectivity using Azure VNG (Simular la conectividad de red remota mediante Azure VNG).

Requisitos previos

Para completar los pasos de este proceso, debe cumplir los siguientes requisitos previos:

En este documento se usan los siguientes valores de ejemplo, junto con los valores de las imágenes y los pasos. No dude en configurar estas opciones según sus propios requisitos.

  • Suscripción: Visual Studio Enterprise
  • Nombre del grupo de recursos: GlobalSecureAccess_Documentation
  • Región: Centro-sur de EE. UU

Pasos generales

Los pasos para crear una red remota mediante Azure vWAN requieren acceso tanto a Azure Portal como al centro de administración Microsoft Entra. Para cambiar entre ellos fácilmente, mantenga abiertos Azure y Microsoft Entra en pestañas independientes. Dado que determinados recursos pueden tardar más de 30 minutos en implementarse, reserve al menos dos horas para completar este proceso. Recordatorio: Los recursos abandonados pueden costarle dinero. Cuando haya terminado las pruebas o al final de un proyecto, es una buena idea quitar los recursos que ya no necesita.

  1. Configuración de una instancia de vWAN en Azure Portal
    1. Crear una WAN virtual
    2. Creación de un centro virtual con una puerta de enlacede VPN de sitio a sitio El centro virtual tarda unos 30 minutos en implementarse.
    3. Obtener información sobre la pasarela VPN
  2. Creación de una red remota en el Centro de administración de Microsoft Entra
  3. Creación de un sitio VPN mediante la puerta de enlace de Microsoft
    1. Creación de un sitio de VPN
    2. Crear una conexiónde sitio a sitio La conexión de sitio a sitio tarda unos 30 minutos en implementarse.
    3. Comprobación de la conectividad del protocolo de puerta de enlace de borde y las rutas aprendidas en Microsoft Azure Portal
    4. Comprobación de la conectividad en el Centro de administración de Microsoft Entra
  4. Configuración de características de seguridad para pruebas
    1. Crear una red virtual
    2. Adición de una conexión de red virtual a vWAN
    3. Creación de una instancia de Azure Virtual DesktopAzure Virtual Desktop tarda unos 30 minutos en implementarse. El Bastión tarda otros 30 minutos.
  5. Prueba de las características de seguridad con Azure Virtual Desktop (AVD)
    1. Prueba de la restricción del inquilino
    2. Prueba de restauración de la IP de origen

Configuración de una instancia de vWAN en Azure Portal

Hay tres pasos principales para configurar una vWAN:

  1. Crear una WAN virtual
  2. Creación de un centro de conectividad virtual con una puerta de enlace de VPN de sitio a sitio
  3. Obtener información sobre la puerta de enlace VPN

Crear una WAN virtual

Cree una instancia de vWAN para conectarse a los recursos de Azure. Para obtener más información sobre vWAN, consulte la información general sobre vWAN.

  1. En Microsoft Azure Portal, en la barra Buscar recursos, escriba vWAN en el cuadro de búsqueda y seleccione Entrar.
  2. Seleccione vWAN en los resultados. En la página Virtual WAN, seleccione + Crear para abrir la página Crear una red WAN.
  3. En la página Crear una red WAN, en la pestaña Aspectos básicos, rellene los campos. Modifique los valores de ejemplo que se aplicarán a su entorno.
    • Suscripción: seleccione la suscripción que quiere usar.
    • Grupo de recursos: créelo o utilice uno existente.
    • Ubicación del grupo de recursos: elija una ubicación para los recursos de la lista desplegable. Una red WAN es un recurso global y no reside en una región determinada. Pero tendrá que seleccionar una región para administrar y ubicar el recurso de WAN que cree.
    • Nombre: escriba el nombre que desee para la red WAN.
    • Tipo: Básico o Estándar. Seleccione Estándar. Si selecciona Básico, entienda que las redes WAN virtuales básicas solo pueden contener centros de conectividad básicos. Los centros de conectividad básicos solo se pueden usar para conexiones de sitio a sitio.
  4. Una vez rellenos los campos, en la parte inferior de la página, seleccione Revisar y crear. Captura de pantalla de la página Crear WAN con campos completados.
  5. Una vez superada la validación, seleccione el botón Crear.

Creación de un centro de conectividad virtual con una puerta de enlace de VPN

A continuación, cree un centro virtual con una puerta de enlace de red privada virtual (VPN) de sitio a sitio:

  1. En el nuevo vWAN, en Conectividad, seleccione Hubs.
  2. Seleccione + Nuevo centro.
  3. En la página Crear centro de conectividad virtual, en la pestaña Aspectos básicos, rellene los campos según su entorno.
    • Región: seleccione la región en la que quiere implementar el centro de conectividad virtual.
    • Nombre: nombre por el que desea que se conozca el centro de conectividad virtual.
    • Espacio de direcciones privadas del centro: para este ejemplo, use 10.101.0.0/24. Para crear un centro, el intervalo de direcciones debe estar en notación de enrutamiento entre dominios sin clases (CIDR) y tener un espacio de direcciones mínimo de /24.
    • Capacidad del centro virtual: en este ejemplo, seleccione 2 unidades de infraestructura de enrutamiento, enrutador de 3 Gbps, admite 2000 máquinas virtuales. Para más información, consulte Configuración de un centro de conectividad virtual.
    • Preferencia de enrutamiento del concentrador: Dejar por defecto. Consulte Preferencia de enrutamiento del centro de conectividad virtual para más información.
    • Seleccione Siguiente: Sitio a sitio >. Captura de pantalla de la página Crear centro virtual, en la pestaña Aspectos básicos, con campos completados.
  4. En la pestaña Sitio a sitio, rellene los campos siguientes:
    • Seleccione para crear una puerta de enlace de sitio a sitio (VPN).
    • Número AS: este campo no se puede modificar.
    • Unidadesde escalado de puerta de enlace: en este ejemplo, seleccione 1 unidad de escalado: 500 Mbps x 2. Este valor debe alinearse con el rendimiento agregado de la puerta de enlace de VPN que se crea en el centro virtual.
    • Preferenciade enrutamiento: en este ejemplo, seleccione Red de Microsoft para enrutar el tráfico entre Azure e Internet. Para obtener más información sobre las preferencias de enrutamiento mediante la red de Microsoft o el ISP, vea el artículo Preferencias de enrutamiento. Captura de pantalla de la página Crear centro virtual, en la pestaña Sitio a sitio, con campos completados.
  5. Deje las opciones de pestaña restantes establecidas en sus valores predeterminados y seleccione Revisar y crear para validar.
  6. Seleccione Crear para crear el centro de conectividad y la puerta de enlace. Este proceso puede tardar hasta 30 minutos.
  7. Después de 30 minutos, actualice para ver el centro en la página Hubs y, después, seleccione Ir al recurso para ir al recurso.

Obtener información sobre la puerta de enlace VPN

Para crear una red remota en el Centro de administración de Microsoft Entra, debe ver y registrar la información de la puerta de enlace VPN para el centro virtual que creó en el paso anterior.

  1. En el nuevo vWAN, en Conectividad, seleccione Hubs.
  2. Seleccione el centro virtual.
  3. Seleccione VPN (de sitio a sitio)
  4. En la página Centro de conectividad virtual, seleccione el vínculo VPN Gateway. Captura de pantalla de la página VPN (sitio a sitio), con el vínculo vpn Gateway visible.
  5. En la página VPN Gateway, seleccione Vista JSON.
  6. Copie el texto JSON en un archivo como referencia en los próximos pasos. Tome nota del número de sistema autónomo (ASN), la dirección IP del dispositivo y la dirección del protocolo de puerta de enlace de borde del dispositivo (BGP) que se usará en el Centro de administración de Microsoft Entra en el paso siguiente. 
       "bgpSettings": {
        "asn": 65515,
        "peerWeight": 0,
        "bgpPeeringAddresses": [
            {
                "ipconfigurationId": "Instance0",
                "defaultBgpIpAddresses": [
                    "10.101.0.12"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.250",
                    "10.101.0.4"
                ]
            },
            {
                "ipconfigurationId": "Instance1",
                "defaultBgpIpAddresses": [
                    "10.101.0.13"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.251",
                    "10.101.0.5"
                ]
            }
        ]
    }

Sugerencia

No se puede cambiar el valor de ASN.

Creación de una red remota en el Centro de administración de Microsoft Entra

En este paso, use la información de red de la puerta de enlace de VPN para crear una red remota en el Centro de administración de Microsoft Entra. El primer paso es proporcionar el nombre y la ubicación de la red remota.

  1. Inicie sesión en el Centro de administración Microsoft Entra al menos como Administrador de seguridad.
  2. Vaya a Acceso global seguro>Conectar>Redes remotas.
  3. Seleccione el botón Crear red remota y proporcione los detalles.
    • Nombre: para este ejemplo, use Azure_vWAN.
    • Región: en este ejemplo, seleccione Centro-sur de EE. UU.
  4. Seleccione Siguiente: Conectividad para continuar con la pestaña Conectividad. Captura de pantalla de la página Crear una red remota en la pestaña Aspectos básicos, con el botón Siguiente: Conectividad resaltado.
  5. En la pestaña Conectividad, agregue vínculos de dispositivo para la red remota. Cree un vínculo para la instancia0 de VPN Gateway y otro vínculo para la instancia de VPN Gateway1:
    1. Seleccione Agregar un vínculo.
    2. Complete los campos de la pestaña General del formulario Agregar un vínculo mediante la configuración de Instance0 de VPN Gateway desde la vista JSON:

      • Nombre del vínculo: nombre del equipo local del cliente (CPE). En este ejemplo, Instance0.

      • Tipo de dispositivo: elija una de las opciones de dispositivo de la lista desplegable. Establézcalo en Otro.

      • Dirección IP del dispositivo: dirección IP pública del dispositivo. En este ejemplo, use 203.0.113.250.

      • Dirección BGP del dispositivo: escriba la dirección IP del Protocolo de puerta de enlace (BGP) del CPE. En este ejemplo, use 10.101.0.4.

      • ASN del dispositivo: proporcione el número de sistema autónomo (ASN) del CPE. En este ejemplo, el ASN es 65515.

      • Redundancia establecida en Sin redundancia.

      • Dirección BGP local con redundancia de zona: se trata de un campo opcional que solo se muestra si se selecciona Redundancia de zona.

        • Introduzca una dirección IP BGP que no forme parte de la red local donde reside el CPE y que sea diferente de la dirección BGP local.

      • Capacidad de ancho de banda (Mbps): especifique el ancho de banda del túnel. En este ejemplo, establezca 250 Mbps.

      • Dirección BGP local: use una dirección IP de BGP que no forme parte de la red en el entorno local donde reside el CPE, como 192.168.10.10.

        Captura de pantalla del formulario Agregar un vínculo con flechas que muestran la relación entre el código JSON y la información del vínculo.

    3. Seleccione el botón Siguiente para revisar la pestaña de Detalles. Mantenga la configuración predeterminada.
    4. Seleccione el botón Siguiente para ver la pestaña Seguridad.
    5. Introduzca la clave precompartida (PSK). La misma clave secreta debe usarse en el CPE.
    6. Seleccione el botón Guardar.

Para obtener más información sobre los vínculos, consulte el artículo Administración de vínculos de dispositivos de red remotos.

  1. Repita los pasos anteriores para crear un segundo vínculo de dispositivo mediante la configuración de Instance1 de VPN Gateway.
    1. Seleccione Agregar un vínculo.
    2. Complete los campos de la pestaña General del formulario Agregar un vínculo mediante la configuración de Instance1 de VPN Gateway desde la vista JSON:
      • Nombre del vínculo: Instance1
      • Tipo de dispositivo: Otros
      • Dirección IP del dispositivo: 203.0.113.251
      • Dirección BGP del dispositivo: 10.101.0.5
      • ASN del dispositivo: 65515
      • Redundancia: sin redundancia
      • Capacidad de ancho de banda (Mbps): 250 Mbps
      • Dirección BGP local: 192.168.10.11
    3. Seleccione el botón Siguiente para ver la pestaña Detalles. Mantenga la configuración predeterminada.
    4. Seleccione el botón Siguiente para ver la pestaña Seguridad.
    5. Introduzca la clave precompartida (PSK). La misma clave secreta debe usarse en el CPE.
    6. Seleccione el botón Guardar.
  2. Vaya a la pestaña Perfiles de tráfico para seleccionar el perfil de tráfico que se va a vincular a la red remota.
  3. Seleccione Perfil de tráfico de Microsoft 365.
  4. Seleccione Revisar + crear.
  5. Seleccione Crear red remota.

Vaya a la página Red remota para ver los detalles de la nueva red remota. Debe haber una Región y dos vínculos.

  1. En Detalles de conectividad, seleccione el vínculo Ver configuración. Captura de pantalla de la página Red remota con la región recién creada, sus dos vínculos y el vínculo Ver configuración resaltado.
  2. Copie el texto de configuración de red remota en un archivo como referencia en los próximos pasos. Anote la dirección Punto de conexión, ASN y BGP para cada uno de los vínculos (Instance0 e Instance1). 
       {
  "id": "68d2fab0-0efd-48af-bb17-d793f8ec8bd8",
  "displayName": "Instance0",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.32",
      "asn": 65476,
      "bgpAddress": "192.168.10.10",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.250",
    "asn": 65515,
    "bgpAddress": "10.101.0.4"
  }
},
{
  "id": "26500385-b1fe-4a1c-a546-39e2d0faa31f",
  "displayName": "Instance1",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.34",
      "asn": 65476,
      "bgpAddress": "192.168.10.11",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.251",
    "asn": 65515,
    "bgpAddress": "10.101.0.5"
  }
}

Creación de un sitio VPN mediante la puerta de enlace de Microsoft

En este paso, cree un sitio VPN, asocie el sitio VPN al centro y, a continuación, valide la conexión.

Creación de un sitio de VPN

  1. En Microsoft Azure Portal, inicie sesión en el centro virtual creado en los pasos anteriores.
  2. Vaya a VPN de conectividad>(sitio a sitio).
  3. Seleccione + Crear nuevo sitio VPN.
  4. En la página Crear sitio VPN, complete los campos de la pestaña Aspectos básicos.
  5. Vaya a la pestaña Vínculos. Para cada vínculo, escriba la configuración de puerta de enlace de Microsoft en la configuración de red remota que se indica en el paso "Ver detalles":
    • Nombre del vínculo: para este ejemplo, Instance0; Instance1.
    • Velocidad de vínculo: en este ejemplo, 250 para ambos vínculos.
    • Nombre del proveedor de vínculos: establezca en Otro para ambos vínculos.
    • Dirección IP de vínculo /FQDN: use la dirección del punto de conexión. En este ejemplo, 203.0.113.32=;203.0.113.34.
    • Dirección BGP de vínculo: use la dirección BGP, 192.168.10.10; 192.168.10.11.
    • Vincular ASN: use el ASN. En este ejemplo, 65476 para ambos vínculos. Captura de pantalla de la página Crear VPN, en la pestaña Vínculos, con campos completados.
  6. Seleccione Revisar + crear.
  7. Seleccione Crear.

Creación de una conexión de sitio a sitio

En este paso, asocie el sitio VPN del paso anterior al centro. A continuación, quite la asociación del centro predeterminada:

  1. Vaya a VPN de conectividad>(sitio a sitio).
  2. Seleccione la X para quitar la asociación de concentrador predeterminada: Conectado a este filtro de concentrador para que el sitio VPN aparezca en la lista de sitios VPN disponibles. Captura de pantalla de la página VPN (sitio a sitio) con la X resaltada para el filtro de asociación del centro.
  3. Seleccione el sitio VPN de la lista y seleccione Conectar sitios VPN.
  4. En el formulario Conectar sitios, escriba la misma clave precompartida (PSK) que se usa para el Centro de administración de Microsoft Entra.
  5. Seleccione Conectar.
  6. Después de unos 30 minutos, el sitio VPN se actualiza para mostrar iconos de éxito para el estado de aprovisionamiento de conexiones y el estado de conectividad. Captura de pantalla de la página VPN (sitio a sitio) en la que se muestra un estado correcto para el aprovisionamiento de conexiones y la conectividad.

Comprobación de la conectividad BGP y las rutas aprendidas en Microsoft Azure Portal

En este paso, use el panel de BGP para comprobar la lista de rutas aprendidas que la puerta de enlace de sitio a sitio está aprendiendo.

  1. Vaya a VPN de conectividad>(sitio a sitio).
  2. Seleccione el sitio VPN que creó los pasos anteriores.
  3. Seleccione Panel BGP.

En el panel de BGP se enumeran los pares BGP (puertas de enlace de VPN y sitio VPN), que deben tener un estado Conectado.

  1. Para ver la lista de rutas aprendidas, seleccione Rutas que la puerta de enlace de sitio a sitio está aprendiendo.

La lista de rutas aprendidas muestra que la puerta de enlace de sitio a sitio está aprendiendo las rutas de Microsoft 365 enumeradas en el perfil de tráfico de Microsoft 365. Captura de pantalla de la página Rutas aprendidas con las rutas aprendidas de Microsoft 365 resaltadas.

En la imagen siguiente se muestran las directivas y reglas de perfil de tráfico para el perfil de Microsoft 365, que deben coincidir con las rutas aprendidas de la puerta de enlace de sitio a sitio. Captura de pantalla de los perfiles de reenvío de tráfico de Microsoft 365, en la que se muestran las rutas aprendidas coincidentes.

Comprobación de la conectividad en el Centro de administración de Microsoft Entra

Vea los registros de mantenimiento de red remotos para validar la conectividad en el Centro de administración Microsoft Entra.

  1. En el Centro de administración Microsoft Entra, vaya a Acceso global seguro (versión preliminar)>Supervisar>Registros de mantenimiento de red remotos.
  2. Seleccione Agregar filtro.
  3. Seleccione IP de origen y escriba la dirección IP de origen de la Instancia0 o Instancia1 de la puerta de enlace VPN. Seleccione Aplicar.
  4. La conectividad debe ser "Red remota activa".

También puede validar filtrando por tunnelConnected o BGPConnected. Para obtener más información, consulte Registros de estado de red remotos.

Configuración de características de seguridad para pruebas

En este paso, se prepara para realizar pruebas mediante la configuración de una red virtual, la adición de una conexión de red virtual a vWAN y la creación de una instancia de Azure Virtual Desktop.

Creación de una red virtual

En este paso, use la Azure Portal para crear una red virtual.

  1. En Azure Portal, busque y seleccione Redes virtuales.
  2. En la página Redes virtuales, seleccione y Crear.
  3. Complete la pestaña Aspectos básicos, incluida la suscripción, el grupo de recursos, el nombre de red virtual y la región.
  4. Seleccione Siguiente para ir a la pestaña Seguridad.
  5. En la sección Azure Bastion, seleccione Habilitar Bastion.
    • Escriba el nombre de host de Azure Bastion. En este ejemplo, use Virtual_network_01-bastion.
    • Seleccione la dirección IP pública de Azure Bastion. En este ejemplo, seleccione (Nuevo) el valor predeterminado. Captura de pantalla de la pantalla Crear red virtual, en la pestaña Seguridad, que muestra la configuración de Bastion.
  6. Seleccione Siguiente para continuar a la pestaña Direcciones IP. Configure el espacio de direcciones de la red virtual con uno o varios intervalos de direcciones IPv4 o IPv6.

Sugerencia

No use un espacio de direcciones superpuesto. Por ejemplo, si el centro virtual creado en los pasos anteriores usa el espacio de direcciones 10.0.0.0/16, cree esta red virtual con el espacio de direcciones 10.2.0.0/16. 7. Seleccione Revisar + crear. Cuando se supera la validación, seleccione Crear.

Adición de una conexión de red virtual a vWAN

En este paso, conecte la red virtual a vWAN.

  1. Abra la instancia de vWAN creada en los pasos anteriores y vaya a Conexiones de red virtual de conectividad>.
  2. Seleccione + Agregar conexión.
  3. Complete el formulario Agregar conexión y seleccione los valores del centro virtual y la red virtual creados en las secciones anteriores:
    • Nombre de conexión: VirtualNetwork
    • Hubs: hub1
    • Suscripción: Suscripción de Azure de Contoso
    • Grupo de recursos: GlobalSecureAccess_Documentation
    • Red virtual: VirtualNetwork
  4. Deje los campos restantes establecidos en sus valores predeterminados y seleccione Crear. Captura de pantalla del formulario Agregar conexión con información de ejemplo en los campos obligatorios.

Creación de un inquilino de Azure Virtual Desktop

En este paso, cree un escritorio virtual y hospede con Bastion.

  1. En Azure Portal, busque y seleccione Azure Virtual Desktop.
  2. En la página de información general de Azure Virtual Desktop, seleccione Crear un grupo de hosts.
  3. Complete la pestaña Aspectos básicos con lo siguiente:
    • Nombre del grupo de hosts. En este ejemplo, VirtualDesktops.
    • Ubicación del objeto de Azure Virtual Desktop. En este caso, Centro-sur de EE. UU.
    • Tipo de grupo de aplicaciones preferido: seleccione Escritorio.
    • Tipo de grupo de hosts: seleccione Agrupado.
    • Algoritmo de equilibrio de carga: seleccione Amplitud primero.
    • Límite máximo de sesión: seleccione 2.
  4. Seleccione Siguiente: Máquinas virtuales.
  5. Complete la pestaña Siguiente: Máquinas virtuales con lo siguiente:
    • Agregar máquinas virtuales: Sí
    • El grupo de recursos deseado. En este ejemplo, GlobalSecureAccess_Documentation.
    • El prefijo del nombre: avd
    • Tipo de máquina virtual: seleccione Máquina virtual de Azure.
    • Ubicación de la máquina virtual: Centro-sur de EE. UU.
    • Opciones de disponibilidad: seleccione No se requiere redundancia de infraestructura.
    • En Tipo de seguridad, seleccione Máquinas virtuales de inicio seguro.
    • Habilitar arranque seguro: Sí
    • Habilitar vTPM: Sí
    • Imagen: en este ejemplo, seleccione Windows 11 Enterprise multisesión + Aplicaciones de Microsoft 365 versión 22H2.
    • Tamañode máquina virtual: seleccione Standard D2s v3, 2 vCPU, 8 GB de memoria.
    • Número de máquinas virtuales: 1
    • Red virtual: seleccione la red virtual creada en el paso anterior, VirtualNetwork.
    • Dominio que se va a unir: seleccione Microsoft Entra ID.
    • Escriba las credenciales de la cuenta de administrador.
  6. Deje otras opciones como valor predeterminado y seleccione Revisar y crear.
  7. Cuando se supera la validación, seleccione Crear.
  8. Después de unos 30 minutos, el grupo de hosts se actualizará para mostrar que la implementación se ha completado.
  9. Vaya a Inicio de Microsoft Azure y seleccione Máquinas virtuales.
  10. Seleccione la máquina virtual creada en los pasos anteriores.
  11. Seleccione Conectar>a través de Bastion.
  12. Seleccione Implementar Bastion. El sistema tarda unos 30 minutos en desplegar el host Bastion.
  13. Después de implementar Bastion, escriba las mismas credenciales de administrador que se usan para crear Azure Virtual Desktop.
  14. Seleccione Conectar. Se inicia el escritorio virtual.

Prueba de las características de seguridad con Azure Virtual Desktop (AVD)

En este paso, usamos el AVD para probar las restricciones de acceso a la red virtual.

Prueba de la restricción del inquilino

Antes de realizar las pruebas, habilite las restricciones de inquilino en la Virtual Network.

  1. En el Centro de administración Microsoft Entra, vaya a Acceso global seguro>Configuración>Administración de sesiones.
  2. Seleccione el botón de alternancia para Habilitar el etiquetado para aplicar restricciones de inquilino en la red.
  3. Seleccione Guardar.
  4. Para modificar la directiva de acceso entre inquilinos, vaya a Identidad>Identidades externas>Configuración e acceso entre inquilinos. Para obtener más información, consulte información general sobre el acceso entre inquilinos.
  5. Mantenga la configuración predeterminada, lo que impide que los usuarios inicien sesión con cuentas externas en dispositivos administrados.

Para probar:

  1. Inicie sesión en la máquina virtual de Azure Virtual Desktop creada en los pasos anteriores.
  2. Vaya a www.office.com e inicie sesión con un identificador de organización interno. Esta prueba debe superarse correctamente.
  3. Repita el paso anterior, pero con una cuenta externa. Esta prueba debe producir un error debido al acceso bloqueado.
    Captura de pantalla del mensaje

Restauración de IP de origen

Antes de realizar las pruebas, habilite el acceso condicional.

  1. En el Centro de administración Microsoft Entra, vaya a Acceso global seguro>Configuración>Administración de sesiones.
  2. Seleccione la pestaña Acceso adaptable.
  3. Active la opción Activar señalización de acceso seguro global en acceso condicional.
  4. Seleccione Guardar. Para obtener más información, consulte el artículo Restauración de ip de origen.

Para probar (opción 1): repita la prueba de restricción de inquilino de la sección anterior:

  1. Inicie sesión en la máquina virtual de Azure Virtual Desktop creada en los pasos anteriores.
  2. Vaya a www.office.com e inicie sesión con un identificador de organización interno. Esta prueba debe superarse correctamente.
  3. Repita el paso anterior, pero con una cuenta externa. Esta prueba debe producir un error porque la dirección IP de origen del mensaje de error procede de la dirección IP pública de VPN Gateway en lugar del proxy de SSE de Microsoft para enviar la solicitud a Microsoft Entra.
    Captura de pantalla del mensaje

Para probar (opción 2):

  1. En el Centro de administración Microsoft Entra, vaya a Acceso global seguro (versión preliminar)>Supervisar>Registros de mantenimiento de red remotos.
  2. Seleccione Agregar filtro.
  3. Seleccione IP de origen y escriba la dirección IP pública de VPN Gateway. Seleccione Aplicar. Captura de pantalla de la página Registros de estado de red remoto con el menú Agregar filtro abierto listo para escribir la dirección IP de origen.

El sistema restaura la dirección IP del equipo local (CPE) de la sucursal. Dado que la puerta de enlace de VPN representa el CPE, los registros de estado muestran la dirección IP pública de la puerta de enlace de VPN, no la dirección IP del proxy.

Eliminación de recursos innecesarios

Cuando haya terminado las pruebas o al final de un proyecto, es una buena idea quitar los recursos que ya no necesita. Los recursos que se dejan en ejecución pueden costarle mucho dinero. Puede eliminar los recursos de forma individual o eliminar el grupo de recursos para eliminar todo el conjunto de recursos.