Delen via

Externe netwerkconnectiviteit simuleren met behulp van Azure vWAN

  • Artikel

In dit artikel wordt uitgelegd hoe u externe netwerkconnectiviteit simuleert met behulp van een extern virtueel wide-area network (vWAN). Als u externe netwerkconnectiviteit wilt simuleren met behulp van een virtuele Azure-netwerkgateway (VNG), raadpleegt u het artikel Externe netwerkconnectiviteit simuleren met behulp van Azure VNG.

Vereisten

Als u de stappen in dit proces wilt voltooien, moet aan de volgende vereisten zijn voldaan:

In dit document worden de volgende voorbeeldwaarden gebruikt, samen met de waarden in de afbeeldingen en stappen. U kunt deze instellingen configureren op basis van uw eigen vereisten.

  • Abonnement: Visual Studio Enterprise
  • Naam van resourcegroep: GlobalSecureAccess_Documentation
  • Regio: VS - zuid-centraal

Stappen op hoog niveau

Voor de stappen voor het maken van een extern netwerk met behulp van Azure vWAN is toegang nodig tot zowel de Azure-portal als het Microsoft Entra-beheercentrum. Als u eenvoudig wilt schakelen, houdt u Azure en Microsoft Entra open op afzonderlijke tabbladen. Omdat het meer dan 30 minuten kan duren voordat bepaalde resources zijn geïmplementeerd, moet u ten minste twee uur de tijd nemen om dit proces te voltooien. Herinnering: Resources die nog worden uitgevoerd, kunnen u geld kosten. Wanneer u klaar bent met testen of aan het einde van een project, is het een goed idee om de resources te verwijderen die u niet meer nodig hebt.

  1. Een vWAN instellen in Azure Portal
    1. Een vWAN maken
    2. Het duurt ongeveer 30 minuten om een virtuele hub te maken met een site-naar-site-VPN-gateway.
    3. Informatie over VPN-gateway verkrijgen
  2. Een extern netwerk maken in het Microsoft Entra-beheercentrum
  3. Een VPN-site maken met behulp van de Microsoft Gateway
    1. Een VPN-site maken
    2. Het maken van een site-naar-site-verbinding De site-naar-site-verbindingduurt ongeveer 30 minuten om te implementeren.
    3. Connectiviteit van randgatewayprotocol en geleerde routes controleren in Microsoft Azure Portal
    4. Connectiviteit controleren in het Microsoft Entra-beheercentrum
  4. Beveiligingsfuncties configureren voor testen
    1. Een virtueel netwerk maken
    2. Een virtuele netwerkverbinding toevoegen aan de vWAN
    3. Het duurt ongeveer 30 minuten om een virtuele Azure-bureaubladte maken. De Bastion duurt nog 30 minuten.
  5. Beveiligingsfuncties testen met Azure Virtual Desktop (AVD)
    1. De tenantbeperking testen
    2. Herstel van bron-IP testen

Een vWAN instellen in Azure Portal

Er zijn drie hoofdstappen voor het instellen van een vWAN:

  1. Een vWAN maken
  2. Een virtuele hub maken met een site-naar-site-VPN-gateway
  3. Informatie over VPN-gateway verkrijgen

Een vWAN maken

Maak een vWAN om verbinding te maken met uw resources in Azure. Zie het overzicht van vWAN voor meer informatie over vWAN.

  1. Typ in microsoft Azure Portal in de balk Resources zoeken vWAN in het zoekvak en selecteer Enter.
  2. Selecteer vWAN's in de resultaten. Selecteer + Maken op de pagina vWAN's om de pagina WAN maken te openen.
  3. Vul op de pagina WAN maken op het tabblad Basisbeginselen de velden in. Wijzig de voorbeeldwaarden die u wilt toepassen op uw omgeving.
    • Abonnement: selecteer het abonnement dat u wilt gebruiken.
    • Resourcegroep: Maak een nieuwe resourcegroep of gebruik bestaande.
    • Locatie van de resourcegroep: kies een resourcelocatie in de vervolgkeuzelijst. Een WAN is een globale resource en woont niet in een bepaalde regio. U moet echter een regio selecteren om de WAN-resource te beheren en te vinden die u maakt.
    • Naam: typ de naam die u wilt aanroepen naar uw vWAN.
    • Type: Basic of Standard. Selecteer Standaard. Als u Basic selecteert, moet u begrijpen dat Basic vWAN's alleen Basic-hubs kunnen bevatten. Basishubs kunnen alleen worden gebruikt voor site-naar-site-verbindingen.
  4. Nadat u de velden hebt ingevuld, selecteert u Onder aan de pagina Beoordelen en maken. Schermopname van de pagina WAN maken met ingevulde velden.
  5. Zodra de validatie is geslaagd, selecteert u de knop Maken .

Een virtuele hub maken met een VPN-gateway

Maak vervolgens een virtuele hub met een site-naar-site VPN-gateway (virtual private network):

  1. Selecteer Hubs in de nieuwe vWAN onder Connectiviteit.
  2. Selecteer + Nieuwe hub.
  3. Vul op de pagina Virtuele hub maken op het tabblad Basis de velden in op basis van uw omgeving.
    • Regio: Selecteer de regio waarin u de virtuele hub wilt implementeren.
    • Naam: de naam waarmee u de virtuele hub wilt weten.
    • Privéadresruimte van hub: gebruik voor dit voorbeeld 10.101.0.0/24. Als u een hub wilt maken, moet het adresbereik zich in cidr-notatie (Classless Inter-Domain Routing) bevinden en een minimale adresruimte van /24 hebben.
    • Capaciteit van virtuele hub: selecteer voor dit voorbeeld 2 routeringsinfrastructuureenheden, 3 Gbps-router, ondersteunt 2000 VM's. Zie Instellingen voor virtuele hubs voor meer informatie.
    • Voorkeur voor hubroutering: laat de standaardinstelling staan. Zie routeringsvoorkeur voor virtuele hubs voor meer informatie.
    • Selecteer Volgende: Site-naar-site >. Schermopname van de pagina Virtuele hub maken, op het tabblad Basisinformatie, met ingevulde velden.
  4. Vul op het tabblad Site-naar-site de volgende velden in:
  5. Laat de overige tabbladopties ingesteld op de standaardinstellingen en selecteer Controleren en maken om te valideren.
  6. Selecteer Maken om de hub en gateway te maken. Dit proces kan tot 30 minuten duren.
  7. Na 30 minuten vernieuwt u de hub op de pagina Hubs en selecteert u Naar de resource gaan om naar de resource te navigeren.

Informatie over VPN-gateway verkrijgen

Als u een extern netwerk wilt maken in het Microsoft Entra-beheercentrum, moet u de VPN-gatewaygegevens bekijken en vastleggen voor de virtuele hub die u in de vorige stap hebt gemaakt.

  1. Selecteer Hubs in de nieuwe vWAN onder Connectiviteit.
  2. Selecteer de virtuele hub.
  3. Selecteer VPN (site-naar-site).
  4. Selecteer de VPN Gateway-koppeling op de pagina Virtuele hub. Schermopname van de pagina VPN (site-naar-site) met de VPN Gateway-koppeling zichtbaar.
  5. Selecteer JSON-weergave op de pagina VPN Gateway.
  6. Kopieer de JSON-tekst naar een bestand ter referentie in de volgende stappen. Noteer het autonome systeemnummer (ASN), het IP-adres van het apparaat en het BGP-adres (Border Gateway Protocol) dat u in de volgende stap wilt gebruiken in het Microsoft Entra-beheercentrum. 
       "bgpSettings": {
        "asn": 65515,
        "peerWeight": 0,
        "bgpPeeringAddresses": [
            {
                "ipconfigurationId": "Instance0",
                "defaultBgpIpAddresses": [
                    "10.101.0.12"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.250",
                    "10.101.0.4"
                ]
            },
            {
                "ipconfigurationId": "Instance1",
                "defaultBgpIpAddresses": [
                    "10.101.0.13"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.251",
                    "10.101.0.5"
                ]
            }
        ]
    }

Tip

U kunt de ASN-waarde niet wijzigen.

Een extern netwerk maken in het Microsoft Entra-beheercentrum

In deze stap gebruikt u de netwerkgegevens van de VPN-gateway om een extern netwerk te maken in het Microsoft Entra-beheercentrum. De eerste stap is het opgeven van de naam en locatie van uw externe netwerk.

  1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.
  2. Navigeer naar Global Secure Access>Connect>Remote Networks.
  3. Selecteer de knop Extern netwerk maken en geef de details op.
    • Naam: Gebruik voor dit voorbeeld Azure_vWAN.
    • Regio: Voor dit voorbeeld selecteert u VS - zuid-centraal.
  4. Selecteer Volgende: Connectiviteit om door te gaan naar het tabblad Connectiviteit . Schermopname van de pagina Een extern netwerk maken op het tabblad Basisinformatie, met de knop Volgende: Connectiviteit gemarkeerd.
  5. Voeg op het tabblad Connectiviteit apparaatkoppelingen toe voor het externe netwerk. Maak één koppeling voor het exemplaar van de VPN-gateway en een andere koppeling voor het exemplaar1 van de VPN-gateway:
    1. Selecteer + Een koppeling toevoegen.
    2. Vul de velden op het tabblad Algemeen in het formulier Een koppeling toevoegen in met behulp van de instantie0-configuratie van de VPN-gateway vanuit de JSON-weergave:

      • Koppelingsnaam: naam van uw customer premises apparatuur (CPE). Voor dit voorbeeld, Instance0.

      • Apparaattype: Kies een apparaatoptie in de vervolgkeuzelijst. Ingesteld op Overige.

      • IP-adres van apparaat: openbaar IP-adres van uw apparaat. Gebruik voor dit voorbeeld 203.0.113.250.

      • BGP-adres van het apparaat: voer het IP-adres van uw CPE (Border Gateway Protocol) in. Gebruik voor dit voorbeeld 10.101.0.4.

      • Apparaat-ASN: geef het autonome systeemnummer (ASN) van de CPE op. In dit voorbeeld is de ASN 65515.

      • Redundantie: ingesteld op Geen redundantie.

      • Zone-redundant lokaal BGP-adres: dit optionele veld wordt alleen weergegeven wanneer u zoneredundantie selecteert.

        • Voer een BGP-IP-adres in dat geen deel uitmaakt van uw on-premises netwerk waar uw CPE zich bevindt en verschilt van het lokale BGP-adres.

      • Bandbreedtecapaciteit (Mbps): geef tunnelbandbreedte op. Stel voor dit voorbeeld in op 250 Mbps.

      • Lokaal BGP-adres: gebruik een BGP-IP-adres dat geen deel uitmaakt van uw on-premises netwerk waar uw CPE zich bevindt, zoals 192.168.10.10.

        Schermopname van het koppelingsformulier Toevoegen met pijlen met de relatie tussen de JSON-code en de koppelingsgegevens.

    3. Selecteer de knop Volgende om het tabblad Details weer te geven. Behoud de standaardinstellingen.
    4. Selecteer de knop Volgende om het tabblad Beveiliging weer te geven.
    5. Voer de vooraf gedeelde sleutel (PSK) in. Dezelfde geheime sleutel moet worden gebruikt op uw CPE.
    6. Selecteer de knop Opslaan.

Zie het artikel Over het beheren van externe netwerkapparaatkoppelingen voor meer informatie over koppelingen.

  1. Herhaal de bovenstaande stappen om een tweede apparaatkoppeling te maken met behulp van de instantie1-configuratie van de VPN-gateway.
    1. Selecteer + Een koppeling toevoegen.
    2. Vul de velden op het tabblad Algemeen in het formulier Een koppeling toevoegen in met behulp van de instantie1-configuratie van de VPN-gateway vanuit de JSON-weergave:
      • Koppelingsnaam: Exemplaar1
      • Apparaattype: Overig
      • IP-adres van apparaat: 203.0.113.251
      • BGP-adres van apparaat: 10.101.0.5
      • ASN van apparaat: 65515
      • Redundantie: geen redundantie
      • Bandbreedtecapaciteit (Mbps): 250 Mbps
      • Lokaal BGP-adres: 192.168.10.11
    3. Selecteer de knop Volgende om het tabblad Details weer te geven. Behoud de standaardinstellingen.
    4. Selecteer de knop Volgende om het tabblad Beveiliging weer te geven.
    5. Voer de vooraf gedeelde sleutel (PSK) in. Dezelfde geheime sleutel moet worden gebruikt op uw CPE.
    6. Selecteer de knop Opslaan.
  2. Ga door naar het tabblad Verkeersprofielen om het verkeersprofiel te selecteren dat u wilt koppelen aan het externe netwerk.
  3. Selecteer Microsoft 365-verkeersprofiel.
  4. Selecteer Controleren + maken.
  5. Selecteer Extern netwerk maken.

Navigeer naar de pagina Extern netwerk om de details van het nieuwe externe netwerk weer te geven. Er moet één regio en twee koppelingen zijn.

  1. Selecteer onder Connectiviteitsgegevens de koppeling Configuratie weergeven. Schermopname van de pagina Extern netwerk met de zojuist gemaakte regio, de twee koppelingen en de koppeling Configuratie weergeven gemarkeerd.
  2. Kopieer de tekst van de configuratie van het externe netwerk naar een bestand ter referentie in de komende stappen. Noteer het eindpunt, ASN en BGP-adres voor elk van de koppelingen (Instance0 en Instance1). 
       {
  "id": "68d2fab0-0efd-48af-bb17-d793f8ec8bd8",
  "displayName": "Instance0",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.32",
      "asn": 65476,
      "bgpAddress": "192.168.10.10",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.250",
    "asn": 65515,
    "bgpAddress": "10.101.0.4"
  }
},
{
  "id": "26500385-b1fe-4a1c-a546-39e2d0faa31f",
  "displayName": "Instance1",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.34",
      "asn": 65476,
      "bgpAddress": "192.168.10.11",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.251",
    "asn": 65515,
    "bgpAddress": "10.101.0.5"
  }
}

Een VPN-site maken met behulp van de Microsoft Gateway

In deze stap maakt u een VPN-site, koppelt u de VPN-site aan de hub en valideert u de verbinding.

Een VPN-site maken

  1. Meld u in de Microsoft Azure-portal aan bij de virtuele hub die u in de vorige stappen hebt gemaakt.
  2. Navigeer naar Connectiviteits-VPN>(site-naar-site).
  3. Selecteer + Nieuwe VPN-site maken.
  4. Vul op de pagina VPN-site maken de velden in op het tabblad Basisbeginselen .
  5. Ga door naar het tabblad Koppelingen . Voer voor elke koppeling de Configuratie van de Microsoft-gateway in vanuit de configuratie van het externe netwerk die is genoteerd in de stap Details weergeven:
    • Koppelingsnaam: Voor dit voorbeeld, Instance0; Exemplaar1.
    • Snelheid van koppeling: Voor dit voorbeeld zijn er 250 voor beide koppelingen.
    • Naam van koppelingsprovider: ingesteld op Overige voor beide koppelingen.
    • IP-adres/FQDN koppelen: gebruik het eindpuntadres. Voor dit voorbeeld 203.0.113.32; 203.0.113.34.
    • BGP-adres koppelen: gebruik het BGP-adres, 192.168.10.10; 192.168.10.11.
    • ASN koppelen: gebruik de ASN. Voor dit voorbeeld is 65476 voor beide koppelingen. Schermopname van de pagina VPN maken, op het tabblad Koppelingen, met ingevulde velden.
  6. Selecteer Controleren + maken.
  7. Selecteer Maken.

Een site-naar-site-verbinding maken

In deze stap koppelt u de VPN-site uit de vorige stap aan de hub. Verwijder vervolgens de standaardhubkoppeling:

  1. Navigeer naar Connectiviteits-VPN>(site-naar-site).
  2. Selecteer de X om de standaardhubkoppeling te verwijderen: verbonden met dit hubfilter , zodat de VPN-site wordt weergegeven in de lijst met beschikbare VPN-sites. Schermopname van de pagina VPN (site-naar-site) met de X gemarkeerd voor het hubkoppelingsfilter.
  3. Selecteer de VPN-site in de lijst en selecteer VPN-sites verbinden.
  4. Typ in het formulier Connect-sites dezelfde vooraf gedeelde sleutel (PSK) die wordt gebruikt voor het Microsoft Entra-beheercentrum.
  5. Selecteer Verbinding maken.
  6. Na ongeveer 30 minuten wordt de VPN-site bijgewerkt om succespictogrammen weer te geven voor zowel de verbindingsinrichtingsstatus als de connectiviteitsstatus. Schermopname van de pagina VPN (site-naar-site) met een geslaagde status voor het inrichten van verbindingen en connectiviteit.

BGP-connectiviteit en geleerde routes controleren in Microsoft Azure Portal

In deze stap gebruikt u het BGP-dashboard om de lijst met geleerde routes te controleren die de site-naar-site-gateway leert.

  1. Navigeer naar Connectiviteits-VPN>(site-naar-site).
  2. Selecteer de VPN-site die de vorige stappen heeft gemaakt.
  3. Selecteer BGP-dashboard.

Het BGP-dashboard bevat de BGP-peers (VPN-gateways en VPN-site), die de status Verbonden moeten hebben.

  1. Als u de lijst met geleerde routes wilt weergeven, selecteert u Routes die de site-naar-site-gateway leert.

In de lijst met geleerde routes ziet u dat de site-naar-site-gateway de Microsoft 365-routes leert die worden vermeld in het Microsoft 365-verkeersprofiel. Schermopname van de pagina Geleerde routes met de geleerde Microsoft 365-routes gemarkeerd.

In de volgende afbeelding ziet u het beleid en de regels voor het verkeerprofiel voor het Microsoft 365-profiel. Deze moeten overeenkomen met de routes die zijn geleerd van de site-naar-site-gateway. Schermopname van de Microsoft 365-profielen voor het doorsturen van verkeer, met de overeenkomende geleerde routes.

Connectiviteit controleren in het Microsoft Entra-beheercentrum

Bekijk de statuslogboeken van het externe netwerk om de connectiviteit in het Microsoft Entra-beheercentrum te valideren.

  1. Navigeer in het Microsoft Entra-beheercentrum naar de statuslogboeken van global Secure Access>Monitor>Remote Network.
  2. Selecteer Filter toevoegen
  3. Selecteer bron-IP en typ het bron-IP-adres voor het IP-adres van de VPN-gateway of exemplaar1 . Selecteer Toepassen.
  4. De connectiviteit moet 'Extern netwerk actief' zijn.

U kunt ook valideren door te filteren op tunnelConnected of BGPConnected. Zie Wat zijn externe netwerkstatuslogboeken? voor meer informatie.

Beveiligingsfuncties configureren voor testen

In deze stap bereiden we ons voor op testen door een virtueel netwerk te configureren, een virtuele netwerkverbinding toe te voegen aan de vWAN en een Azure Virtual Desktop te maken.

Een virtueel netwerk maken

In deze stap gebruikt u Azure Portal om een virtueel netwerk te maken.

  1. Zoek en selecteer virtuele netwerken in Azure Portal.
  2. Selecteer + Maken op de pagina Virtuele netwerken.
  3. Voltooi het tabblad Basisinformatie, inclusief het abonnement, de resourcegroep, de naam van het virtuele netwerk en de regio.
  4. Selecteer Volgende om door te gaan naar het tabblad Beveiliging.
  5. Selecteer Bastion in de sectie Azure Bastion inschakelen.
    • Typ de hostnaam van Azure Bastion. Gebruik voor dit voorbeeld Virtual_network_01-bastion.
    • Selecteer het openbare IP-adres van Azure Bastion. Selecteer voor dit voorbeeld de standaardwaarde (Nieuw). Schermopname van het scherm Virtueel netwerk maken, op het tabblad Beveiliging, met de Bastion-instellingen.
  6. Selecteer Volgende om door te gaan naar het tabblad IP-adressen. Configureer de adresruimte van het virtuele netwerk met een of meer IPv4- of IPv6-adresbereiken.

Tip

Gebruik geen overlappende adresruimte. Als de virtuele hub die in de vorige stappen is gemaakt bijvoorbeeld gebruikmaakt van de adresruimte 10.0.0.0/16, maakt u dit virtuele netwerk met de adresruimte 10.2.0.0/16. 7. Selecteer Beoordelen en maken. Wanneer de validatie is geslaagd, selecteert u Maken.

Een virtuele netwerkverbinding toevoegen aan de vWAN

In deze stap verbindt u het virtuele netwerk met de vWAN.

  1. Open de vWAN die u in de vorige stappen hebt gemaakt en navigeer naar >connectiviteitsverbindingen voor virtueel netwerk.
  2. Selecteer + Verbinding toevoegen.
  3. Vul het verbindingsformulier toevoegen in en selecteer de waarden van de virtuele hub en het virtuele netwerk dat u in de vorige secties hebt gemaakt:
    • Verbindingsnaam: VirtualNetwork
    • Hubs: hub1
    • Abonnement: Contoso Azure-abonnement
    • Resourcegroep: GlobalSecureAccess_Documentation
    • Virtueel netwerk: VirtualNetwork
  4. Laat de resterende velden ingesteld op de standaardwaarden en selecteer Maken. Schermopname van het formulier Verbinding toevoegen met voorbeeldinformatie in de vereiste velden.

Een Azure Virtual Desktop maken

In deze stap maakt u een virtueel bureaublad en host u deze met Bastion.

  1. Zoek en selecteer Azure Virtual Desktop in Azure Portal.
  2. Selecteer Een hostgroep maken op de pagina Azure Virtual Desktop.
  3. Vul het tabblad Basisbeginselen in met het volgende:
    • De naam van de hostgroep. Voor dit voorbeeld, VirtualDesktops.
    • De locatie van het Azure Virtual Desktop-object. In dit geval, VS - zuid-centraal.
    • Type voorkeurs-app-groep: selecteer Bureaublad.
    • Type hostgroep: selecteer Gegroepeerd.
    • Taakverdelingsalgoritmen: selecteer Breedte-eerst.
    • Maximale sessielimiet: selecteer 2.
  4. Selecteer Volgende: Virtuele machines.
  5. Voltooi het tabblad Volgende: Virtuele machines met het volgende:
    • Virtuele machines toevoegen: Ja
    • De gewenste resourcegroep. Voor dit voorbeeld GlobalSecureAccess_Documentation.
    • Naamvoorvoegsel: avd
    • Type virtuele machine: selecteer virtuele Azure-machine.
    • Locatie van virtuele machine: VS - zuid-centraal.
    • Beschikbaarheidsopties: selecteer Geen infrastructuurredundantie vereist.
    • Beveiligingstype: selecteer vertrouwde start-VM.
    • Beveiligd opstarten inschakelen: Ja
    • VTPM inschakelen: Ja
    • Afbeelding: Voor dit voorbeeld selecteert u Windows 11 Enterprise-multisessie + Microsoft 365-apps versie 22H2.
    • Grootte van virtuele machine: selecteer Standard D2s v3, 2 vCPU's, 8 GB geheugen.
    • Aantal VM's: 1
    • Virtueel netwerk: selecteer het virtuele netwerk dat u in de vorige stap hebt gemaakt, VirtualNetwork.
    • Domein waaraan u wilt deelnemen: selecteer Microsoft Entra-id.
    • Voer de beheerdersaccountreferenties in.
  6. Laat andere opties standaard staan en selecteer Beoordelen en maken.
  7. Wanneer de validatie is geslaagd, selecteert u Maken.
  8. Na ongeveer 30 minuten wordt de hostgroep bijgewerkt om aan te geven dat de implementatie is voltooid.
  9. Navigeer naar Microsoft Azure Home en selecteer Virtuele machines.
  10. Selecteer de virtuele machine die u in de vorige stappen hebt gemaakt.
  11. Selecteer Verbinding maken>via Bastion.
  12. Selecteer Bastion implementeren. Het duurt ongeveer 30 minuten voordat de Bastion-host is geïmplementeerd.
  13. Nadat bastion is geïmplementeerd, voert u dezelfde beheerdersreferenties in die worden gebruikt om azure Virtual Desktop te maken.
  14. Selecteer Verbinding maken. Het virtuele bureaublad wordt gestart.

Beveiligingsfuncties testen met Azure Virtual Desktop (AVD)

In deze stap gebruiken we de AVD om toegangsbeperkingen voor het virtuele netwerk te testen.

De tenantbeperking testen

Voordat u gaat testen, schakelt u tenantbeperkingen in voor het virtuele netwerk.

  1. Navigeer in het Microsoft Entra-beheercentrum naar Het beheer van algemene instellingen voor beveiligde toegang>>.
  2. Stel het inschakelen van tags in om tenantbeperkingen af te dwingen op uw netwerkknop aan.
  3. Selecteer Opslaan.
  4. U kunt het toegangsbeleid voor meerdere tenants wijzigen door te navigeren naar> de toegangsinstellingen voor externe identiteiten voor meerdere tenants.> Zie het artikel Overzicht van toegang tussen tenants voor meer informatie.
  5. Behoud de standaardinstellingen, waardoor gebruikers zich niet kunnen aanmelden met externe accounts op beheerde apparaten.

Testen:

  1. Meld u aan bij de virtuele Machine van Azure Virtual Desktop die u in de vorige stappen hebt gemaakt.
  2. Ga naar www.office.com en meld u aan met een interne organisatie-id. Deze test moet zijn geslaagd.
  3. Herhaal de vorige stap, maar met een extern account. Deze test mislukt vanwege geblokkeerde toegang.
    Schermopname van het bericht 'Toegang is geblokkeerd'.

Herstel van bron-IP testen

Schakel voorwaardelijke toegang in voordat u gaat testen.

  1. Navigeer in het Microsoft Entra-beheercentrum naar Het beheer van algemene instellingen voor beveiligde toegang>>.
  2. Selecteer het tabblad Adaptieve toegang .
  3. Stel de schakeloptie Global Secure Access inschakelen in op Aan.
  4. Selecteer Opslaan. Zie het artikel Bron-IP-herstel voor meer informatie.

Testen (optie 1): Herhaal de tenantbeperkingstest uit de vorige sectie:

  1. Meld u aan bij de virtuele Machine van Azure Virtual Desktop die u in de vorige stappen hebt gemaakt.
  2. Ga naar www.office.com en meld u aan met een interne organisatie-id. Deze test moet zijn geslaagd.
  3. Herhaal de vorige stap, maar met een extern account. Deze test mislukt omdat het bron-IP-adres in het foutbericht afkomstig is van het openbare IP-adres van de VPN-gateway in plaats van de Microsoft SSE die de aanvraag naar Microsoft Entra proxyt.
    Schermopname van het bericht 'Toegang is geblokkeerd' met het IP-adres gemarkeerd.

Testen (optie 2):

  1. Navigeer in het Microsoft Entra-beheercentrum naar de statuslogboeken van global Secure Access>Monitor>Remote Network.
  2. Selecteer Filter toevoegen
  3. Selecteer bron-IP en typ het openbare IP-adres van de VPN-gateway. Selecteer Toepassen. Schermopname van de pagina Externe netwerkstatuslogboeken met het menu Filter toevoegen geopend dat gereed is om het bron-IP-adres te typen.

Het systeem herstelt het CPE-IP-adres (Customer Premises Equipment) van het filiaal. Omdat de VPN-gateway de CPE vertegenwoordigt, worden in de statuslogboeken het openbare IP-adres van de VPN-gateway weergegeven, niet het IP-adres van de proxy.

Overbodige resources verwijderen

Wanneer u klaar bent met testen of aan het einde van een project, is het een goed idee om de resources te verwijderen die u niet meer nodig hebt. Resources die actief blijven, kunnen u geld kosten. U kunt resources afzonderlijk verwijderen, maar u kunt ook de resourcegroep verwijderen als u de volledige resourceset wilt verwijderen.