Konfigurowanie sprzętu lokalnego klienta na potrzeby globalnego bezpiecznego dostępu

Tunel IPSec to dwukierunkowa komunikacja. Jedna strona komunikacji jest ustanawiana podczas dodawania linku urządzenia do sieci zdalnej w globalnym bezpiecznym dostępie. Podczas tego procesu wprowadzasz publiczny adres IP i adresy protokołu BGP (Border Gateway Protocol) w centrum administracyjnym firmy Microsoft Entra, aby poinformować nas o konfiguracjach sieci.

Ten artykuł zawiera kroki konfigurowania drugiej strony kanału komunikacyjnego.

Wymagania wstępne

Aby skonfigurować sprzęt lokalny klienta (CPE), musisz mieć następujące elementy:

• Rola administratora globalnego bezpiecznego dostępu w usłudze Microsoft Entra ID.
• Produkt wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.
• Aby skonfigurować cpE, należy ukończyć proces dołączania globalnego bezpiecznego dostępu.

Jak skonfigurować sprzęt lokalny klienta

Narzędzie CPE można skonfigurować przy użyciu centrum administracyjnego firmy Microsoft Entra lub interfejsu API programu Microsoft Graph. Podczas tworzenia sieci zdalnej i dodawania informacji o połączeniu urządzenia są generowane szczegóły konfiguracji. Te szczegóły są potrzebne do skonfigurowania serwera CPE.

Centrum administracyjne firmy Microsoft Entra

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.

2. Przejdź do lokalizacji Global Secure Access Connect Remote Networks (Global Secure Access>Connect>Remote Networks).

3. Wybierz pozycję Wyświetl konfigurację dla sieci zdalnej, którą chcesz skonfigurować.

   

4. Znajdź i zapisz publiczny adres endpoint IP firmy Microsoft z panelu, który zostanie otwarty.

   

5. W preferowanym interfejsie dla środowiska CPE wprowadź adres IP zapisany w poprzednim kroku. Ten krok umożliwia ukończenie konfiguracji tunelu IPSec.

Na poniższym diagramie przedstawiono poszczególne główne sekcje szczegółów konfiguracji urządzenia. Opisy tekstu każdej sekcji są zgodne z diagramem.

• Element branchId i branchName reprezentuje szczegóły sieci zdalnej.
• Jest displayName to nazwa łącza urządzenia.
• Element endpoint, asn, bgpAddressi region reprezentuje szczegóły łączności firmy Microsoft. Wprowadź te szczegóły dotyczące cpe.
• W przypadku linków urządzeń strefowo nadmiarowych generowany jest drugi zestaw szczegółów.
• PeerConfiguration a kolejne szczegóły reprezentują szczegóły łączności CPE.
• Jeśli skonfigurowano więcej urządzeń, postępuj zgodnie z ich szczegółami.

Ważne

Profil kryptograficzny określony dla linku urządzenia powinien być zgodny z określonymi elementami cpE. Jeśli podczas konfigurowania linku urządzenia wybrano "domyślne" zasady protokołu IKE, użyj konfiguracji opisanych w artykule Konfiguracja sieci zdalnej .

Interfejs API programu Microsoft Graph

Postępuj zgodnie z tymi instrukcjami, aby pobrać informacje o łączności dla sieci zdalnej.

1. Zaloguj się do Eksploratora programu Graph.

2. Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.

3. Ustaw wersję interfejsu API na wersję beta.

4. Uruchom następujące zapytanie, aby wyświetlić listę sieci zdalnych i ich łączy urządzeń:

   GET https://graph.microsoft.com/beta/networkaccess/connectivity/branches
   

5. Uruchom następujące zapytanie, aby uzyskać informacje o łączności, zastępując {branchSiteId} element identyfikatorem sieci zdalnej i {deviceLinkId} identyfikatorem linku urządzenia:

   GET https://graph.microsoft.com/beta/networkAccess/connectivity/branches/{branchSiteId}/deviceLinks/{deviceLinkId}
   

Szczegóły w odpowiedzi są podobne do szczegółów konfiguracji urządzenia znajdujących się w centrum administracyjnym firmy Microsoft Entra.

Następne kroki

• Jak zarządzać sieciami zdalnymi
• Jak zarządzać linkami zdalnych urządzeń sieciowych