カスタム構成と既定の構成で有効なリモート ネットワーク構成
デバイス リンクは、たとえば支社オフィスなどのリモート ネットワークをグローバル セキュア アクセスに接続する物理的なルーターです。 [カスタム] オプションを選択してデバイス リンクを追加する場合は、特定の組み合わせの設定を使用する必要があります。 [既定] オプションを選択する場合は、顧客のオンプレミス機器 (CPE) で、特定のプロパティの組み合わせを入力する必要があります。
カスタムと既定の詳細
使用可能なリージョン、デバイスの種類、自律システム番号 (ASN)、Border Gateway Protocol (BGP) アドレスは、既定の構成とカスタム構成の両方に使用されます。
使用可能なデバイス オプション
- barracudaNetworks
- checkPoint
- ciscoMeraki
- citrix
- Fortinet
- hpeAruba
- netFoundry
- nuage
- openSystems
- paloAltoNetworks
- riverbedTechnology
- silverPeak
- vmWareSdWan
- versa
リモート ネットワークを作成できる有効なリージョン
| ヨーロッパ 中東アフリカ (EMEA) | アジア太平洋 (APAC) | ラテン アメリカ (LATAM) | 北米 (NA) |
|---|---|---|---|
| franceCentral | australiaEast | brazilSouth | canadaCentral |
| franceSouth | australiaSouthEast | canadaEast | |
| germanyWestCentral | centralIndia | centralUS | |
| israelCentral | japanEast | eastUS | |
| italyNorth | japanWest | northCentralUS | |
| northEurope | koreaCentral | southCentralUS | |
| polandCentral | koreaSouth | westCentralUS | |
| southAfricaNorth | southEastAsia | westUS | |
| southAfricaWest | southIndia | westUS2 | |
| swedenCentral | westUS3 | ||
| switzerlandNorth | |||
| uaeNorth | |||
| ukSouth | |||
| westEurope |
有効な ASN
次の予約済み ASN を "除き"、任意の 2 バイト値 (1 から 65534) を使用できます。
- Azure の予約済み ASN: 12076、65517、65518、65519、65520、8076、8075
- IANA の予約済み ASN: 23456、>= 64496 && <= 64511, >= 65535 && <= 65551, 4294967295
- 65476
有効な BGP アドレス
次のアドレスを除く任意の BGP アドレスを使用できます。
- 0.0.0.0/32
- 127.0.0.0/8
- 224.0.0.0/4
- 255.255.255.255/32
既定の IPSec/IKE 構成
リモート ネットワーク デバイス リンクの構成作業を Microsoft Entra 管理センターで行うとき、IPsec/IKE ポリシーの [既定] を選択する場合、トンネル ハンドシェイクについて想定される組み合わせは以下のとおりです。 組み合わせの各値は CPE に入力されます。
重要
CPE でフェーズ 1 とフェーズ 2 の両方の組み合わせを指定する必要があります。
IKE フェーズ 1 の組み合わせ
| プロパティ | 組み合わせ 1 | 組み合わせ 2 | 組み合わせ 3 | 組み合わせ 4 |
|---|---|---|---|---|
| IKE 暗号化 | GCMAES256 | GCMAES128 | AES256 | AES128 |
| IKE 整合性 | SHA384 | SHA256 | SHA384 | SHA256 |
| DH グループ | DHGroup24 | DHGroup24 | DHGroup24 | DHGroup24 |
IKE フェーズ 2 の組み合わせ
| プロパティ | 組み合わせ 1 | 組み合わせ 2 | 組み合わせ 3 |
|---|---|---|---|
| IPsec 暗号化 | GCMAES256 | GCMAES192 | GCMAES128 |
| IPsec 整合性 | GCMAES256 | GCMAES192 | GCMAES128 |
| PFS グループ | なし | なし | なし |
カスタム IPSec/IKE の組み合わせ
リモート ネットワーク デバイス リンクの構成作業を Microsoft Entra 管理センターで行うとき、IPsec/IKE の構成で [カスタム] を選択する場合、以下のいずれかの構成を使用する必要があります。
IKE フェーズ 1 の組み合わせ
IKE フェーズ 1 の組み合わせに制限はありません。 どのような暗号化、整合性、DH グループの組み合わせも有効です。
IKE フェーズ 2 の組み合わせ
IPSec 暗号化と整合性の構成を次の表に示します。
| IPsec 暗号化 | IPsec 整合性 |
|---|---|
| GCMAES128 | GCMAES128 |
| GCMAES192 | GCMAES192 |
| GCMAES256 | GCMAES256 |
| なし | SHA256 |
- PFS グループ - 制限なし。
- SA の有効期間 - 300 秒よりも長くする必要があります。
有効な列挙型
IKE、IPSec、DH グループ、PFS グループ プロパティには次の値を使用できます。
IKE 暗号化
| 値 | 列挙型 |
|---|---|
| AES128 | 0 |
| AES192 | 1 |
| AES256 | 2 |
| GCMAES128 | 3 |
| GCMAES256 | 4 |
IKE 整合性
| 値 | 列挙型 |
|---|---|
| SHA256 | 0 |
| SHA384 | 1 |
| GCMAES256 | 2 |
| GCMAES256 | 3 |
DH グループ
| 値 | 列挙型 |
|---|---|
| DHGroup14 | 0 |
| DHGroup2048 | 1 |
| ECP256 | 2 |
| ECP384 | 3 |
| DHGroup24 | 4 |
IPsec 暗号化
| 値 | 列挙型 |
|---|---|
| GCMAES128 | 0 |
| GCMAES192 | 1 |
| GCMAES256 | 2 |
| なし | 3 |
IPsec 整合性
| 値 | 列挙型 |
|---|---|
| GCMAES128 | 0 |
| GCMAES192 | 1 |
| GCMAES256 | 2 |
| SHA256 | 3 |
PFS グループ
| 値 | 列挙型 |
|---|---|
| PFS1 | 0 |
| なし | 1 |
| PFS2 | 2 |
| PFS2048 | 3 |
| ECP256 | 4 |
| ECP384 | 5 |
| PFSMM | 6 |
| PFS24 | 7 |
| PFS14 | 8 |