Criar uma rede remota com uma política de IKE personalizada para Acesso Seguro Global

O túnel IPSec é uma comunicação bidirecional. Este artigo fornece as etapas para configurar o canal de comunicação no centro de administração do Microsoft Entra e na API do Microsoft Graph. O outro lado da comunicação é configurado no CPE (equipamento local do cliente).

Pré-requisitos

Para criar uma rede remota com uma política de IKE personalizada, é necessário ter:

• Uma função de Administrador de Acesso Seguro Global no Microsoft Entra ID.
• Recebeu as informações de conectividade da integração do Acesso Seguro Global.
• O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é Acesso Global Seguro. Se necessário, você pode adquirir licenças ou obter licenças de avaliação.

Como criar uma rede remota com uma política de IKE personalizada

Se você preferir adicionar detalhes de política de IKE personalizados à sua rede remota, poderá fazer isso ao adicionar o link do dispositivo à sua rede remota. Você pode concluir esta etapa no centro de administração do Microsoft Entra ou usando a API do Microsoft Graph.

Centro de administração do Microsoft Entra

Para criar uma rede remota com uma política de IKE personalizada no centro de administração do Microsoft Entra:

1. Entre no centro de administração do Microsoft Entra como um Administrador do Acesso Global Seguro.

2. Navegue até Acesso Global Seguro>Conectar>Redes Remotas.

3. Selecione Criar rede remota.

4. Forneça um nome e uma região para sua rede remota e selecione Avançar: Conectividade.

5. Selecione + Adicionar um link para adicionar os detalhes de conectividade do seu CPE.

Adicionar um link – guia geral

Há vários detalhes a serem inseridos na guia Geral. Preste muita atenção aos endereços nó par e do Local Border Gateway Protocol (BGP). Os detalhes de par e local são invertidos, dependendo de onde a configuração é concluída.

1. Insira os seguintes detalhes:

   • Nome do link: nome do seu CPE.
   • Tipo de dispositivo: escolha uma opção de dispositivo na lista suspensa.
   • Endereço de IP do dispositivo: endereço de IP público do dispositivo.
   • Endereço BGP do dispositivo: insira o endereço de IP BGP do seu CPE.
     • Esse endereço é inserido como o endereço IP BGP local no CPE.
   • ASN do dispositivo: forneça o número do sistema autônomo (ASN) do CPE.
     • Uma conexão habilitada para BGP entre dois gateways de rede requer que eles tenham ASNs diferentes.
     • Consulte a lista valores ASN válidos para valores reservados que não podem ser usados.
   • Redundância: selecione Nenhuma redundância ou Redundância de zona para o túnel IPSec.
   • Endereço BGP local com redundância de zona: esse campo opcional aparece somente ao selecionar Redundância de zona.
     • Insira um endereço IP BGP que não fala parte da rede local em que o seu CPE reside e seja diferente do endereço BGP local.
   • Capacidade de Bandwidth (Mbps): especifique a bandwidth do túnel. As opções disponíveis são 250, 500, 750 e 1.000 Mbps.
   • Endereço BGP local: insira um endereço IP BGP que não seja parte da rede local onde reside o CPE.
     • Por exemplo, se sua rede local for 10.1.0.0/16, você poderá usar 10.2.0.4 como seu endereço BGP local.
     • Esse endereço é inserido como o BGP parEndereço IP em seu CPE.
     • Consulte a lista endereços BGP válidos para valores reservados que não podem ser usados.

2. Selecione Avançar.

Adicionar um link – guia Detalhes

Importante

Você deve especificar uma combinação de Fase 1 e Fase 2 em seu CPE.

1. O IKEv2 é selecionado por padrão. Atualmente, há suporte apenas para IKEv2.

2. Altere a política IPSec/IKE para Personalizada.

3. Selecione os detalhes da combinação da fase 1 para Criptografar, integridade IKEv2 e DHGroup.

   • A combinação de detalhes selecionados deve se alinhar às opções disponíveis listadas no artigo de referência de Configurações válidas da rede remota.

4. Selecione as combinações de Fase 2 para de criptografia IPsec, integridade IPsec, grupo PFS e tempo de vida SA (segundos).

   • A combinação de detalhes selecionados deve se alinhar às opções disponíveis listadas no artigo de referência de Configurações válidas da rede remota.

5. Se você escolher Padrão ou Personalizado, a política IPSec/IKE especificada deve corresponder à política de criptografia em seu CPE.

6. Selecione Avançar.

   

Adicionar uma guia Segurança de link

1. Insira a Chave pré-compartilhada (PSK) e a Chave pré-compartilhada (PSK) de Redundância de Zona. A mesma chave secreta deve ser usada no seu respectivo CPE. O campo da Chave pré-compartilhada (PSK) de Redundância de Zona só será exibido se a redundância for definida na primeira página na criação do link.
2. Selecione Salvar.

API do Microsoft Graph

Redes remotas com uma política IKE personalizada podem ser criadas usando o Microsoft Graph no ponto de extremidade /beta.

1. Entre no Gerenciador de gráficos.
2. Selecione POST como o método HTTP na lista suspensa.
3. Defina a versão da API como beta.
4. Adicione a consulta a seguir e selecione Executar consulta.

    POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04/deviceLinks
Content-Type: application/json

{
    "name": "custom link",
    "ipAddress": "114.20.4.14",
    "deviceVendor": "ciscoMeraki",
    "tunnelConfiguration": {
        "saLifeTimeSeconds": 300,
        "ipSecEncryption": "gcmAes128",
        "ipSecIntegrity": "gcmAes128",
        "ikeEncryption": "aes128",
        "ikeIntegrity": "sha256",
        "dhGroup": "ecp384",
        "pfsGroup": "ecp384",
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Custom",
        "preSharedKey": "SHAREDKEY"
    },
    "bgpConfiguration": {
        "localIpAddress": "10.1.1.11",
        "peerIpAddress": "10.6.6.6",
        "asn": 65000
    },
    "redundancyConfiguration": {
        "redundancyTier": "zoneRedundancy",
        "zoneLocalIpAddress": "10.1.1.12"
    },
    "bandwidthCapacityInMbps": "mbps250"
}

Próximas etapas

• Como gerenciar redes remotas
• Como gerenciar links de dispositivo de rede remota