Informazioni su come creare una rete remota con l'Accesso globale sicuro

Le reti remote sono posizioni remote, ad esempio una succursale o delle reti che richiedono la connettività Internet. La configurazione di reti remote consente di connettere gli utenti in posizioni remote ad Accesso globale sicuro. Dopo aver configurato una rete remota, è possibile assegnare un profilo di inoltro del traffico per gestire il traffico di rete aziendale. L’Accesso globale sicuro offre una connettività di rete remota grazie alla quale è possibile applicare i criteri di sicurezza di rete al traffico in uscita.

Esistono diversi modi per connettere reti remote ad Accesso globale sicuro. In breve, si sta creando un tunnel IPSec (Internet Protocol Security) tra un router principale, noto come apparecchiature locali del cliente (CPE), nella rete remota e nell'endpoint di accesso sicuro globale più vicino. Tutto il traffico associato a Internet viene instradato attraverso il router principale della rete remota per la valutazione dei criteri di sicurezza nel cloud. Non è necessario installare il client sui singoli dispositivi.

Questo articolo spiega come creare una rete remota con l'Accesso globale sicuro.

Prerequisiti

Per configurare le reti remote, è necessario disporre di:

• Un ruolo di Amministratore di Global Secure Access in Microsoft Entra ID.
• Il prodotto richiede licenze. Per informazioni dettagliate, vedi la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario è possibile acquistare licenze o ottenere licenze di test.
• Le apparecchiature locali del cliente (CPE) devono supportare i protocolli seguenti:
  • Internet Protocol Security (IPSec)
  • Algoritmi GCMEAES128, GCMAES 192 o GCMAES256 per la negoziazione IKE (Internet Key Exchange) fase 2
  • Internet Key Exchange versione 2 (IKEv2)
  • Protocollo BGP (Border Gateway Protocol)
• Esaminare le configurazioni valide per la configurazione di reti remote.
• La soluzione di connettività di rete remota usa una configurazione VPN RouteBased con selettori di traffico any-to- any (con caratteri jolly o 0.0.0.0/0). Assicurarsi che sul CPE sia impostato il selettore di traffico corretto.
• La soluzione di connettività di rete remota usa modalità di Risponditore. Il CPE deve avviare la connessione.

Limitazioni note

• Ogni tenant può avere al massimo 10 connessioni remote. Ogni rete remota può essere collegata al massimo a 4 dispositivi.
• Il traffico di Microsoft è accessibile tramite connettività di rete remota senza il client di Accesso globale sicuro. Tuttavia, i criteri di Accesso condizionale non vengono applicati. In altre parole, i criteri di Accesso condizionale per il traffico globale di Accesso sicuro a Microsoft vengono applicati solo quando un utente dispone del client di Accesso globale sicuro.
• È necessario usare il client di Accesso globale sicuro per l’Accesso privato Microsoft Entra. La connettività di rete remota supporta solo l’Accesso a Internet Microsoft Entra.

Procedura generale

È possibile creare una rete remota nell'interfaccia di amministrazione di Microsoft Entra o tramite l'API Microsoft Graph.

A livello generale, la creazione di una rete remota e la configurazione di un tunnel IPsec attivo avvengono in cinque passaggi:

1. Informazioni di base: immettere i dettagli di base, ad esempio il Nome e l'Area della rete remota. L’Area specifica l'altra estremità del tunnel IPsec. L'altra estremità del tunnel è il router o CPE.

2. Connettività: aggiungere un collegamento di dispositivo (o tunnel IPsec) alla rete remota. In questo passaggio si immettono i dettagli del router nell'interfaccia di amministrazione di Microsoft Entra, che indica a Microsoft da dove aspettarsi che provengano le trattative IKE.

3. Profilo di inoltro del traffico: associare un profilo di inoltro del traffico alla rete remota, che specifica il traffico da acquisire tramite il tunnel IPsec. Viene usato il routing dinamico tramite BGP.

4. Visualizzare la configurazione della connettività CPE: recuperare i dettagli del tunnel IPsec della fine del tunnel Microsoft. I dettagli relativi al router sono stati forniti a Microsoft durante il passaggio Connettività. In questo passaggio si recupera il lato Microsoft della configurazione della connettività.

5. Configurare il CPE: eseguire la configurazione della connettività di Microsoft dal passaggio precedente e immetterla nella console di gestione del router o del CPE. Questo passaggio non si trova nell’interfaccia di amministrazione di Microsoft Entra.

Interfaccia di amministrazione di Microsoft Entra

Le reti remote sono configurate in tre schede. È necessario completare ogni scheda in ordine. Dopo aver completato la scheda, selezionare la scheda successiva nella parte superiore della pagina oppure selezionare il pulsante Avanti nella parte inferiore della pagina.

Nozioni di base

Il primo passaggio consiste nello specificare il nome e la posizione della rete remota. Il completamento di questa scheda è obbligatorio.

1. Accedere al Centro di amministrazione di Microsoft Entra come Amministratore dell’Accesso globale sicuro.
2. Passare ad Accesso globale sicuro>Connetti>Reti remote.
3. Selezionare il pulsante Crea rete remota e specificare i dettagli.
   • Nome
   • Area

Connettività

La scheda Connettività consente di aggiungere i collegamenti del dispositivo per la rete remota. È possibile aggiungere collegamenti di dispositivo dopo aver creato la rete remota. È necessario specificare il tipo di dispositivo, l'indirizzo IP pubblico del CPE, l'indirizzo BGP (Border Gateway Protocol) e il numero di sistema autonomo (ASN) per ogni collegamento del dispositivo.

I dettagli necessari per completare la scheda Connettività possono essere complessi. Per ulteriori informazioni, vedere Informazioni su come gestire le registrazioni dei dispositivi.

Profilo di inoltro del traffico

È possibile assegnare la rete remota a un profilo di inoltro del traffico quando si crea la rete remota. È anche possibile assegnare la rete remota in un secondo momento. Per ulteriori informazioni, vedere Profili di inoltro del traffico.

1. Selezionare il pulsante Avanti oppure selezionare la scheda Profili traffico.
2. Selezionare il profilo di inoltro del traffico appropriato.
3. Selezionare il pulsante Rivedi e crea.

La scheda finale del processo consiste nell'esaminare tutte le impostazioni specificate. Esaminare i dettagli forniti e selezionare il pulsante Crea scheda remota.

Visualizzare la configurazione della connettività del CPE

Tutte le reti remote vengono visualizzate nella pagina Rete remota. Selezionare il collegamento Visualizza configurazione nella colonna Dettagli connettività per visualizzare i dettagli della configurazione.

Questi dettagli contengono le informazioni di connettività dal lato di Microsoft del canale di comunicazione bidirezionale usato per configurare CPE.

Questo processo è descritto in modo dettagliato all’interno di Come configurare le apparecchiature locali dei clienti.

Configurare il CPE

Questo passaggio viene eseguito nella console di gestione CPE, non nell'interfaccia di amministrazione di Microsoft Entra. Fino a quando non si completa questo passaggio, la IPsec non è configurata. IPsec è una comunicazione bidirezionale. I negoziati IKE vengono eseguiti tra due parti prima che il tunnel sia configurato correttamente. Quindi si consiglia di non saltare questo passaggio.

API di Microsoft Graph

È possibile visualizzare e gestire le reti remote dell’Accesso globale sicuro usando Microsoft Graph nell'endpoint /beta. La creazione di una rete remota e l'assegnazione di un profilo di inoltro del traffico sono chiamate API separate.

1. Accedere a Graph explorer.

2. Selezionare POST come il metodo HTTP.

3. Selezionare BETA come la versione AP.

4. Esegui la query.

   POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks
   Content-Type: application/json
   
   {
       "name": "Bellevue branch w/ device link",
       "region": "canadaEast",
       "forwardingProfiles": [
           {
               "id": "1adaf535-1e31-4e14-983f-2270408162bf"
           }
       ],
       "deviceLinks": [
           {
               "name": "CPE1",
               "ipAddress": "52.13.21.25",
               "bandwidthCapacityInMbps": "mbps500",
               "deviceVendor": "barracudaNetworks",
               "bgpConfiguration": {
                   "localIpAddress": "192.168.1.2",
                   "peerIpAddress": "10.1.1.2",
                   "asn": 65533
               },
               "redundancyConfiguration": {
                   "zoneLocalIpAddress": null,
                   "redundancyTier": "noRedundancy"
               },
               "tunnelConfiguration": {
                   "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default",
                   "preSharedKey": "test123"
               }
           }
       ]
   }
   

Assegnare un profilo di inoltro del traffico

Per associare un profilo di inoltro del traffico alla rete remota utilizzando l’API Microsoft Graph sono necessari due passaggi. Come prima cosa individuare l'ID del profilo di traffico. L'ID è diverso per tutti i tenant. In secondo luogo, associare il profilo di inoltro del traffico alla rete remota desiderata.

1. Accedere a Graph explorer.

2. Selezionare PATCH come il metodo HTTPnell'elenco a discesa.

3. Selezionare la versioneAPI su beta.

4. Immettere la query.

   GET https://graph.microsoft.com/beta/networkaccess/forwardingprofiles 
   

5. Seleziona Esegui query.

6. Trovare il ID del profilo di inoltro del traffico desiderato.

7. Selezionare PATCH come il metodo HTTPnell'elenco a discesa.

8. Immettere la query.

       PATCH https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04
       Content-Type: application/json
   
       {
           "name": "Test Redmond branch"
       }
   

Verificare le configurazioni di rete remota

Esistono alcuni aspetti da considerare e verificare durante la creazione di reti remote. Potrebbe essere necessario ricontrollare alcune impostazioni.

• Verificare il profilo di crittografia IKE: il profilo di crittografia (algoritmi IKE fase 1 e fase 2) impostato per un collegamento di dispositivo deve corrispondere a quello impostato sul CPE. Se si sceglie il criterio IKE predefinito, assicurarsi che il CPE sia configurato con il profilo di crittografia specificato nell'articolo di riferimento Configurazioni di rete remota.

• Verificare la chiave precondivisa: confrontare la chiave precondivisa (PSK) specificata durante la creazione del collegamento del dispositivo nell’Accesso globale sicuro di Microsoft con la chiave PSK specificata nel CPE. Questo dettaglio viene aggiunto nella scheda Sicurezza durante il processo per Aggiungere un collegamento. Per ulteriori informazioni, vedere Informazioni su come gestire le registrazioni dei dispositivi.

• Verificare gli indirizzi IP BGP locali e peer: l'indirizzo IP pubblico e BGP usato per configurare il CPE deve corrispondere a quello usato quando si crea un collegamento di dispositivo nell’Accesso globale sicuro di Microsoft.

  • Fare riferimento all'elenco indirizzi BGP validi per i valori riservati che non possono essere usati.
  • Gli indirizzi BGP locali e peer vengono invertiti tra CPE e ciò che viene immesso nell’Accesso globale sicuro.
    • CPE: indirizzo IP BGP locale = IP1, indirizzo IP BGP peer = IP2
    • Accesso globale sicuro: indirizzo IP BGP locale = IP2, indirizzo IP BGP peer = IP1
  • Scegliere un indirizzo IP per l'Accesso globale sicuro che non si sovrapponga alla rete locale.

• Verifica ASN: Accesso globale sicuro usa BGP per annunciare le route tra due sistemi autonomi: la rete dell’utente e quella di Microsoft. Questi sistemi autonomi devono avere diversi numeri di sistema autonomo (ASN).

  • Fare riferimento all'elenco indirizzi ASN validi per i valori riservati che non possono essere usati.
  • Quando si crea una rete remota nell'interfaccia di amministrazione di Microsoft Entra, usare l'ASN della rete.
  • Quando si configura il CPE, usare l'ASN di Microsoft. Passare a Accesso globale sicuro>Dispositivi>Reti remote. Selezionare Collegamenti e confermare il valore nella colonna Collegamento ASN.

• Verificare l'indirizzo IP pubblico: in un ambiente di test o in un ambiente di lab, l'indirizzo IP pubblico del CPE potrebbe cambiare in modo imprevisto. Questa modifica può causare l'esito negativo della negoziazione IKE, anche se tutto rimane invariato.

  • Se si verifica questo scenario, completare la procedura seguente:
    • Aggiornare l'indirizzo IP pubblico nel profilo di crittografia del CPE.
    • Andare su Accesso globale sicuro>Dispositivi>Reti remote.
    • Selezionare la rete remota appropriata, eliminare il tunnel precedente e ricreare un nuovo tunnel con l'indirizzo IP pubblico aggiornato.

• Verificare l'indirizzo IP pubblico di Microsoft: quando si elimina un collegamento al dispositivo e/o se ne crea uno nuovo, è possibile ottenere un altro endpoint IP pubblico di tale collegamento in Visualizza configurazione per tale rete remota. Questa modifica può causare l'esito negativo della negoziazione IKE. Se si verifica questo scenario, aggiornare l'indirizzo IP pubblico nel profilo di crittografia del CPE.

• Verificare l'impostazione di connettività BGP nel CPE: si supponga di creare un collegamento di dispositivo per una rete remota. Microsoft fornisce l'indirizzo IP pubblico, ad esempio PIP1 e l'indirizzo BGP, ad esempio BGP1, del gateway. Queste informazioni di connettività sono disponibili in localConfigurations nel BLOB jSON visualizzato quando si seleziona Visualizza configurazione per la rete remota. Nel CPE assicurarsi di avere una route statica destinata a BGP1 inviata tramite l'interfaccia del tunnel creata con PIP1. La route è necessaria in modo che CPE possa apprendere le route BGP pubblicate sul tunnel IPsec creato con Microsoft.

• Verificare le regole del firewall: consentire la porta UDP (User Datagram Protocol) 500 e 4500 e la porta TCP (Transmission Control Protocol) 179 per il tunnel IPsec e la connettività BGP nel firewall.

• Port forwarding: in alcune situazioni, il router del provider di servizi Internet (ISP) è anche un dispositivo NAT (Network Address Translation). Un NAT converte gli indirizzi IP privati dei dispositivi domestici in un dispositivo internet instradabile pubblico.

  • In genere, un dispositivo NAT cambia sia l'indirizzo IP che la porta. Il problema nasce da questa verifica della porta.
  • Per il funzionamento dei tunnel IPsec, l’Accesso globale sicuro usa la porta 500. Questa porta è la posizione in cui avviene la negoziazione IKE.
  • Se il router ISP modifica questa porta in un altro modo, l'Accesso globale sicuro non riesce a identificare il traffico e la negoziazione non riesce.
  • Di conseguenza, la fase 1 della negoziazione IKE ha esito negativo e il tunnel non viene stabilito.
  • Per correggere questo errore, completare il port forwarding nel dispositivo, che indica al router ISP di non modificare la porta e inoltrarla così com'è.

Passaggi successivi

Il passaggio successivo per iniziare a usare l’Accesso a Internet Microsoft Entra consiste nel definire come destinazione il profilo del traffico di Microsoft con i criteri di Accesso condizionale.

Per ulteriori informazioni su queste reti, vedere gli articoli seguenti:

• Elencare le reti remote
• Gestire le reti remote
• Informazioni su come aggiungere collegamenti ai dispositivi della rete remota