Compartilhar via


Como criar uma rede remota com o Acesso Global Seguro

Redes remotas são locais remotos, como uma filial, ou redes que exigem conectividade com a Internet. A configuração de redes remotas conecta seus usuários em locais remotos ao Acesso Global Seguro (versão prévia). Depois que uma rede remota é configurada, é possível atribuir um perfil de encaminhamento de tráfego para gerenciar o tráfego da rede corporativa. O Acesso Seguro Global fornece conectividade de rede remota para que você possa aplicar políticas de segurança de rede ao tráfego de saída.

Há várias maneiras de conectar redes remotas ao Acesso Seguro Global. Em poucas palavras, você está criando um túnel de Segurança de Protocolo IP (IPSec) entre um roteador principal, conhecido como Equipamento Local do Cliente (CPE), em sua rede remota e no ponto de extremidade de Acesso Seguro Global mais próximo. Todo o tráfego vinculado à Internet é roteado por meio do roteador principal da rede remota para avaliação da política de segurança na nuvem. A instalação de um cliente não é necessária em dispositivos individuais.

Este artigo explica como criar uma rede remota para o Acesso Global Seguro (versão prévia).

Pré-requisitos

Para configurar redes remotas, você deve ter:

  • Uma função de Administrador de Acesso Seguro Global no Microsoft Entra ID.
  • O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é Acesso Global Seguro. Se necessário, você poderá adquirir licenças ou obter licenças de avaliação.
  • Os equipamentos nas instalações do cliente (CPE) devem oferecer suporte aos seguintes protocolos:
    • Protocolo IPsec
    • Os algoritmos GCMEAES128, GCMAES 192 ou GCMAES256 para negociação da fase 2 do protocolo IKE
    • IKEv2 (protocolo IKE versão 2)
    • BGP (Border Gateway Protocol)
  • Examine as configurações válidas para configurar redes remotas.
  • A solução de conectividade de rede remota usa a configuração de VPN RouteBased com seletores de tráfego (curinga ou 0.0.0.0/0) do tipoqualquer para qualquer. Verifique se o CPE tem o conjunto de seletores de tráfego correto.
  • A solução de conectividade de rede remota usa modos Responder. Seu CPE deve iniciar a conexão.

Limitações conhecidas

  • O número de redes remotas por locatário é limitado a 10. O número de vinculações de dispositivo por rede remota é limitado a quatro.
  • O tráfego da Microsoft é acessado por meio da conectividade de rede remota sem o cliente de Acesso Seguro Global. No entanto, a política de Acesso Condicional não é imposta. Em outras palavras, as políticas de Acesso Condicional para o tráfego de Acesso Seguro Global da Microsoft são implementadas apenas quando um usuário tem o cliente de Acesso Seguro Global.
  • Você precisa usar o cliente de Acesso Seguro Global para o Acesso Privado do Microsoft Entra. A conectividade de rede remota só dá suporte ao Acesso à Internet do Microsoft Entra.

Etapas de alto nível

É possível criar uma rede remota no centro de administração do Microsoft Entra ou por meio da API do Microsoft Graph.

Em um alto nível, há cinco etapas para criar uma rede remota e configurar um túnel IPsec ativo:

  1. Noções Básicas: insira os detalhes básicos, como o Nome e a Região da rede remota. A Região especifica onde você deseja que esteja sua outra extremidade do túnel IPsec. A outra extremidade do túnel é seu roteador ou CPE.

  2. Conectividade: adicione um link de dispositivo (ou túnel IPsec) à rede remota. Nessa etapa, você inserirá os detalhes do roteador no Centro de administração do Microsoft Entra, que informa à Microsoft de onde esperar que as negociações do IKE venham.

  3. Perfil de encaminhamento de tráfego: associe um perfil de encaminhamento de tráfego à rede remota, que especifica qual tráfego adquirir pelo túnel IPsec. Usamos o roteamento dinâmico por meio do BGP.

  4. Exibir configuração de conectividade CPE: recupere os detalhes do túnel IPsec do fim do túnel da Microsoft. Na etapa Conectividade, você forneceu os detalhes do roteador para a Microsoft. Nessa etapa, você recupera o lado da Microsoft da configuração de conectividade.

  5. Configure seu CPE: use a configuração de conectividade da Microsoft da etapa anterior e insira-a no console de gerenciamento do roteador ou CPE. Esta etapa não está no Centro de administração do Microsoft Entra.

As redes remotas são configuradas em três guias. Você deve concluir cada guia na ordem. Depois de concluir a guia, selecione a próxima guia na parte superior da página ou selecione o botão Avançar na parte inferior da página.

Noções básicas

A primeira etapa é fornecer o nome e o local da sua rede remota. A conclusão dessa guia é obrigatória.

  1. Entre no centro de administração do Microsoft Entra como um Administrador do Acesso Seguro Global.
  2. Navegue até Acesso Global Seguro>Conectar>Redes Remotas.
  3. Selecione o botão Criar rede remota e forneça os detalhes.
    • Nome
    • Região

Captura de tela da guia básica do processo de criação de link de dispositivo.

Conectividade

A guia de Conectividade é o local em que se adiciona os links de dispositivo para a rede remota. É possível adicionar links de dispositivo depois de criar a rede remota. É necessário fornecer o tipo de dispositivo, o endereço IP do seu CPE, o endereço BGP (Border Gateway Protocol) e o ASN (número do sistema autônomo) para o link de cada dispositivo.

Os detalhes necessários para preencher a guia Conectividade podem ser complexos. Para obter mais informações, consulte Como gerenciar links de dispositivo de rede remota.

Perfis de encaminhamento de tráfego

Ao criar a rede remota, é possível atribui-la a um perfil de encaminhamento de tráfego. É também possível atribuir a rede remota posteriormente. Para obter mais informações, confira Perfis de encaminhamento de tráfego.

  1. Selecione o botão Avançar ou a guia Perfis de tráfego.
  2. Selecione o perfil de encaminhamento de tráfego apropriado.
  3. Selecione o botão Revisar + Criar.

A guia final no processo é revisar todas as configurações fornecidas. Revise os detalhes fornecidos aqui e selecione o botão Criar rede remota.

Excluir configuração de conectividade CPE

Todas as redes remotas são exibidas na página Rede remota. Selecione o link Exibir configuração na coluna Detalhes de conectividade para exibir os detalhes da configuração.

Esses detalhes contêm as informações de conectividade do lado da Microsoft do canal de comunicação bidirecional usado para configurar o CPE.

Esse processo é abordado detalhadamente em Como configurar o equipamento local do cliente.

Configurar o CPE

Esta etapa é executada em console de gerenciamento de seu CPE, não no centro de administração do Microsoft Entra. Até concluir esta etapa, o IPsec não está configurado. O IPsec é uma comunicação bidirecional. As negociações do IKE ocorrem entre duas partes antes que o túnel seja configurado com êxito. Portanto, não pule essa etapa.

Verificar suas configurações de rede remota

Há algumas coisas a considerar e verificar ao criar redes remotas. Talvez seja necessário verificar novamente algumas configurações.

  • Verificar perfil de criptografia IKE: o perfil de criptografia (algoritmos do IKE na fase 1 e 2) definido para uma vinculação de dispositivo deve corresponder ao que é definido no CPE. Caso escolha a política de IKE padrão, verifique se o CPE está configurado com o perfil de criptografia especificado no artigo de referência Configurações de rede remota.

  • Verificar chave pré-compartilhada: compare a PSK (chave pré-compartilhada) especificada ao criar o link do dispositivo no Acesso Seguro Global da Microsoft com a PSK especificada em seu CPE. Esse detalhe é adicionado na guia Segurança durante o processo Adicionar um link. Para obter mais informações, consulte Como gerenciar links de dispositivo de rede remota..

  • Verificar endereços IP locais e emparelhar endereços IP BGP: o IP público e o endereço BGP usados para configurar o CPE devem corresponder ao que você usa ao criar uma vinculação de dispositivo no Acesso Seguro Local da Microsoft.

    • Consulte a lista endereços BGP válidos para valores reservados que não podem ser usados.
    • Os endereços BGP locais e pares são invertidos entre o CPE e o que é inserido no Acesso Seguro Global.
      • CPE: endereço IP BGP local = IP1, endereço IP BGP par = IP2
      • Acesso Seguro Global: endereço IP BGP local = IP2, endereço IP BGP par = IP1
    • Escolha um endereço IP para o Acesso Seguro Global que não se sobreponha à sua rede local.
  • Verificar ASN: o Acesso Seguro Global usa o BGP para anunciar rotas entre dois sistemas autônomos: sua rede e a da Microsoft. Esses sistemas autônomos devem ter ASNs (Números do Sistema Autônomo) diferentes.

    • Consulte a lista de valores ASN válidos para valores reservados que não podem ser usados.
    • Ao criar uma rede remota no centro de administração do Microsoft Entra, use o ASN da sua rede.
    • Ao configurar seu CPE, use o ASN da Microsoft. Vá para Acesso Seguro Global>Dispositivos>Redes Remotas. Selecione Links e confirme o valor na coluna Vincular ASN.
  • Verificar seu endereço IP: em um ambiente de teste ou configuração de laboratório, o endereço IP do seu CPE pode mudar inesperadamente. Essa alteração pode fazer com que a negociação do IKE falhe mesmo que tudo permaneça o mesmo.

    • Se você encontrar esse cenário, conclua as seguintes etapas:
      • Atualize o endereço IP no perfil de criptografia do seu CPE.
      • Vá para Acesso Seguro Global>Dispositivos>Redes Remotas.
      • Selecione a rede remota apropriada, exclua o túnel antigo e recrie um novo túnel com o endereço IP atualizado.
  • Verifique o endereço IP da Microsoft: ao excluir um link do dispositivo e/ou criar um novo, você poderá obter outro ponto de extremidade de IP desse link em Exibir configuração para essa rede remota. Essa alteração pode fazer com que haja uma falha na negociação do IKE. Se você encontrar esse cenário, atualize o endereço IP no perfil de criptografia do seu CPE.

  • Verifique a configuração de conectividade BGP em seu CPE: suponha que você crie um link de dispositivo para uma rede remota. A Microsoft fornece a você o endereço IP, por exemplo, PIP1, e o endereço BGP, como BGP1, do seu gateway. Essas informações de conectividade estão disponíveis em localConfigurations no blob JSON que você vê quando seleciona em Exibir configuração para essa rede remota. Em seu CPE, verifique se você tem uma rota estática destinada ao BGP1 enviada pela interface de túnel criada com PIP1. Essa rota é necessária para que o CPE possa aprender as rotas BGP que publicamos no túnel IPsec criado com a Microsoft.

  • Verificar as regras de firewall: permitir porta 500 e 4500 do protocolo UDP e porta 179 do protocolo TCP para túnel IPsec e conectividade BGP em seu firewall.

  • Encaminhamento de porta: em algumas situações, o roteador do ISP (Provedor de Serviço de Internet) também pode ser um dispositivo de NAT (conversão de endereços de rede). Uma NAT converte os endereços IP privados de dispositivos domésticos em um dispositivo roteável público da Internet.

    • Em geral, um dispositivo de NAT altera o endereço IP e a porta. Essa alteração de porta é a raiz do problema.
    • Para que os túneis IPsec funcionem, o Acesso Seguro Global usa a porta 500. Essa porta é onde ocorre a negociação do IKE.
    • Se o roteador do ISP alterar essa porta, o Acesso Seguro Global não poderá identificar esse tráfego e haverá uma falha na negociação.
    • Como resultado, a fase 1 da negociação do IKE falhará e o túnel não será estabelecido.
    • Para corrigir essa falha, conclua o encaminhamento de porta em seu dispositivo, que informa ao roteador do ISP para não alterar a porta e encaminhá-la como está.

Próximas etapas

O próximo passo para começar a usar o Acesso à Internet do Microsoft Entra é visar o perfil de tráfego da Microsoft com a política de Acesso Condicional.

Para obter mais informações sobre redes remotas, confira os seguintes artigos: