Criar uma rede remota com uma política IKE personalizada para Acesso Seguro Global

O túnel IPSec é uma comunicação bidirecional. Este artigo fornece as etapas para configurar o canal de comunicação no centro de administração do Microsoft Entra e na API do Microsoft Graph. O outro lado da comunicação é configurado no equipamento das instalações do cliente (CPE).

Pré-requisitos

Para criar uma rede remota com uma diretiva IKE (Internet Key Exchange) personalizada, você deve ter:

• Uma função de Administrador de Acesso Seguro Global no Microsoft Entra ID.
• Recebeu as informações de conectividade do Global Secure Access onboarding.
• O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é o Acesso Seguro Global. Se necessário, você pode comprar licenças ou obter licenças de avaliação.

Como criar uma rede remota com uma política IKE personalizada

Se preferir adicionar detalhes de política IKE personalizados à sua rede remota, pode fazê-lo quando adicionar a ligação do dispositivo à sua rede remota. Você pode concluir esta etapa no centro de administração do Microsoft Entra ou usando a API do Microsoft Graph.

Centro de administração do Microsoft Entra

Para criar uma rede remota com uma política IKE personalizada no centro de administração do Microsoft Entra:

1. Entre no centro de administração do Microsoft Entra como um Administrador de Acesso Seguro Global.

2. Navegue até Global Secure Access>Connect>Remote networks.

3. Selecione Criar rede remota.

4. Forneça um nome e uma região para sua rede remota e selecione Avançar: Conectividade.

5. Selecione + Adicionar um link para adicionar os detalhes de conectividade do seu CPE.

Adicionar um link - guia Geral

Há vários detalhes para inserir na guia Geral. Preste muita atenção aos endereços BGP (Peer and Local Border Gateway Protocol). Os detalhes de peer e local são invertidos, dependendo de onde a configuração é concluída.

1. Introduza os detalhes seguintes:

   • Nome do link: Nome do seu CPE.
   • Tipo de dispositivo: escolha uma opção de dispositivo na lista suspensa.
   • Endereço IP do dispositivo: endereço IP público do seu dispositivo.
   • Endereço BGP do dispositivo: insira o endereço IP BGP do seu CPE.
     • Este endereço é inserido como o endereço IP BGP local no CPE.
   • ASN do dispositivo: Forneça o número do sistema autônomo (ASN) do CPE.
     • Uma conexão habilitada para BGP entre dois gateways de rede requer que eles tenham ASNs diferentes.
     • Consulte a lista de valores ASN válidos para valores reservados que não podem ser usados.
   • Redundância: Selecione Sem redundância ou Redundância de zona para o túnel IPSec.
   • Endereço BGP local de redundância de zona: este campo opcional aparece apenas quando você seleciona Redundância de zona.
     • Insira um endereço IP BGP que não faça parte da sua rede local onde o CPE reside e seja diferente do endereço BGP local.
   • Capacidade de largura de banda (Mbps): especifique a largura de banda do túnel. As opções disponíveis são 250, 500, 750 e 1.000 Mbps.
   • Endereço BGP local: insira um endereço IP BGP que não faça parte da sua rede local onde o CPE reside.
     • Por exemplo, se sua rede local for 10.1.0.0/16, você poderá usar 10.2.0.4 como seu endereço BGP local.
     • Este endereço é introduzido como o endereço IP BGP de par no seu CPE.
     • Consulte a lista de endereços BGP válida para valores reservados que não podem ser usados.

2. Selecione a opção Avançar.

Adicionar um link - guia Detalhes

Importante

Você deve especificar uma combinação de Fase 1 e Fase 2 no seu CPE.

1. IKEv2 é selecionado por padrão. Atualmente, apenas o IKEv2 é suportado.

2. Altere a política IPSec/IKE para Personalizada.

3. Selecione os detalhes da combinação da Fase 1 para Criptografia, integridade do IKEv2 e DHGroup.

   • A combinação de detalhes selecionada deve estar alinhada com as opções disponíveis listadas no artigo de referência Configurações válidas de rede remota.

4. Selecione suas combinações de Fase 2 para criptografia IPsec, integridade IPsec, grupo PFS e tempo de vida da SA (segundos).

   • A combinação de detalhes selecionada deve estar alinhada com as opções disponíveis listadas no artigo de referência Configurações válidas de rede remota.

5. Quer escolha Predefinição ou Personalizada, a política IPSec/IKE especificada tem de corresponder à política de encriptação no seu CPE.

6. Selecione Seguinte.

   

Adicionar um link Guia Segurança

1. Insira a chave pré-compartilhada (PSK) e a chave pré-compartilhada de redundância de zona (PSK). A mesma chave secreta deve ser usada no seu respetivo CPE. O campo PSK (chave pré-compartilhada de redundância de zona) só aparece se a redundância estiver definida na primeira página na criação do link.
2. Selecione Guardar.

Microsoft Graph API

Redes remotas com uma política IKE personalizada podem ser criadas usando o /beta Microsoft Graph no ponto de extremidade.

1. Inicie sessão no Graph Explorer.
2. Selecione POST como o método HTTP na lista suspensa.
3. Defina a versão da API como beta.
4. Adicione a seguinte consulta e, em seguida, selecione Executar consulta.

    POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04/deviceLinks
Content-Type: application/json

{
    "name": "custom link",
    "ipAddress": "114.20.4.14",
    "deviceVendor": "ciscoMeraki",
    "tunnelConfiguration": {
        "saLifeTimeSeconds": 300,
        "ipSecEncryption": "gcmAes128",
        "ipSecIntegrity": "gcmAes128",
        "ikeEncryption": "aes128",
        "ikeIntegrity": "sha256",
        "dhGroup": "ecp384",
        "pfsGroup": "ecp384",
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Custom",
        "preSharedKey": "SHAREDKEY"
    },
    "bgpConfiguration": {
        "localIpAddress": "10.1.1.11",
        "peerIpAddress": "10.6.6.6",
        "asn": 65000
    },
    "redundancyConfiguration": {
        "redundancyTier": "zoneRedundancy",
        "zoneLocalIpAddress": "10.1.1.12"
    },
    "bandwidthCapacityInMbps": "mbps250"
}

Próximos passos

• Como gerenciar redes remotas
• Como gerenciar links de dispositivos de rede remotos