Поделиться через

Имитация удаленного сетевого подключения с помощью виртуальной глобальной сети Azure

  • Статья

В этой статье объясняется, как имитировать удаленное сетевое подключение с помощью удаленной виртуальной сети (vWAN). Если вы хотите имитировать удаленное сетевое подключение с помощью шлюза виртуальной сети Azure (VNG), см. статью "Имитация удаленного сетевого подключения с помощью Azure VNG".

Необходимые компоненты

Чтобы выполнить действия в этом процессе, необходимо иметь следующие предварительные требования:

  • Подписка Azure и разрешение на создание ресурсов в портал Azure.
  • Базовое понимание сетей виртуальной зоны (vWAN).
  • Базовое понимание VPN-подключений типа "сеть — сеть".
  • Клиент Microsoft Entra с назначенной ролью глобального администратора безопасного доступа.
  • Базовое представление о виртуальных рабочих столах Azure или виртуальных машинах Azure.

В этом документе используются следующие примеры значений, а также значения в изображениях и шагах. Вы можете настроить эти параметры в соответствии с вашими собственными требованиями.

  • Подписка: Visual Studio Enterprise
  • Имя группы ресурсов: GlobalSecureAccess_Documentation
  • Регион: южная часть США

Пошаговые действия

Действия по созданию удаленной сети с помощью виртуальной глобальной сети Azure требуют доступа как к портал Azure, так и к Центру администрирования Microsoft Entra. Чтобы легко переключаться между ними, откройте Azure и Microsoft Entra на отдельных вкладках. Так как для развертывания некоторых ресурсов может потребоваться более 30 минут, не менее двух часов, чтобы завершить этот процесс. Напоминание. Ресурсы, оставшиеся на работе, могут стоить вам денег. При завершении тестирования или в конце проекта рекомендуется удалить ресурсы, которые больше не нужны.

  1. Настройка виртуальной глобальной сети в портал Azure
    1. Создание виртуальной глобальной сети
    2. Создание виртуального концентратора с VPN-шлюзомтипа "сеть — сеть" Виртуальный концентратор занимает около 30 минут.
    3. Получение сведений о VPN-шлюзе
  2. Создание удаленной сети в Центре администрирования Microsoft Entra
  3. Создание VPN-сайта с помощью шлюза Майкрософт
    1. Создание VPN-сайта
    2. Создание подключениятипа "сеть — сеть", подключение "сеть — сеть" занимает около 30 минут для развертывания.
    3. Проверка подключения к протоколу пограничного шлюза и обучение маршрутов в Microsoft портал Azure
    4. Проверка подключения в Центре администрирования Microsoft Entra
  4. Настройка функций безопасности для тестирования
    1. Создание виртуальной сети
    2. Добавление подключения виртуальной сети к виртуальной глобальной сети
    3. Создание виртуального рабочего стола Azure Виртуального рабочего столаAzure занимает около 30 минут. Бастион занимает еще 30 минут.
  5. Тестирование функций безопасности с помощью виртуального рабочего стола Azure (AVD)
    1. Проверка ограничения клиента
    2. Восстановление ИСХОДНОго IP-адреса теста

Настройка виртуальной глобальной сети в портал Azure

Существует три основных шага по настройке виртуальной глобальной сети:

  1. Создание виртуальной глобальной сети
  2. Создание виртуального концентратора с VPN-шлюзом типа "сеть — сеть"
  3. Получение сведений о VPN-шлюзе

Создание виртуальной глобальной сети.

Создайте виртуальную глобальную сеть для подключения к ресурсам в Azure. Дополнительные сведения о виртуальной глобальной сети см. в обзоре виртуальной глобальной сети.

  1. В портал Azure Майкрософт в строке ресурсов поиска введите vWAN в поле поиска и нажмите клавишу ВВОД.
  2. Выберите vWAN из результатов. На странице виртуальных WAN нажмите кнопку +Создать , чтобы открыть страницу "Создать глобальную сеть ".
  3. На странице Создание глобальной сети на вкладке Основные сведения заполните поля. Замените примеры значений на соответствующие для вашей среды.
    • Подписка. Выберите подписку, которую вы хотите использовать.
    • Группа ресурсов. Создайте новую группу ресурсов или используйте имеющуюся.
    • Расположение группы ресурсов. Выберите расположение ресурсов из раскрывающегося списка. Глобальная сеть — это глобальный ресурс, который не располагается в определенном регионе. Однако вы должны выбрать регион для управления и найти созданный вами ресурс глобальной сети.
    • Имя. Введите имя, которое требуется вызвать vWAN.
    • Тип. "Базовый" или "Стандартный". Выберите Стандартное. Если выбрать "Базовый", понять, что базовые виртуальные локальные сети могут содержать только основные концентраторы. Центры уровня "Базовый" можно использовать только для подключений "сеть — сеть".
  4. После заполнения полей в нижней части страницы нажмите кнопку "Проверить и создать". Снимок экрана: страница
  5. После прохождения проверки нажмите кнопку "Создать ".

Создание виртуального концентратора с ПОМОЩЬЮ VPN-шлюза

Затем создайте виртуальный концентратор с помощью шлюза виртуальной частной сети типа "сеть — сеть" (VPN):

  1. В новой виртуальной глобальной сети в разделе "Подключение" выберите "Центры".
  2. Выберите + Создать концентратор.
  3. На странице "Создание виртуального концентратора" на вкладке "Основные сведения" заполните поля в соответствии с вашей средой.
    • Регион: выберите регион, в котором требуется развернуть виртуальный центр.
    • Имя: имя виртуального центра.
    • Частное адресное пространство концентратора: в этом примере используйте 10.101.0.0/24. Чтобы создать концентратор, диапазон адресов должен находиться в нотации маршрутизации без классов (CIDR) и иметь минимальное адресное пространство /24.
    • Емкость виртуального концентратора: в этом примере выберите 2 единицы инфраструктуры маршрутизации, маршрутизатор 3 Гбит/с, поддерживает 2000 виртуальных машин. Дополнительные сведения о параметрах виртуальных концентраторов см. на этой странице.
    • Предпочтения маршрутизации концентратора: оставьте значение по умолчанию. Дополнительные сведения см. в разделе Предпочтение маршрутизации виртуального концентратора.
    • Нажмите кнопку "Далее" — "Сайт— сайт >". Снимок экрана: страница
  4. На вкладке "Сайт — сайт " заполните следующие поля:
    • Выберите "Да ", чтобы создать VPN-шлюз.
    • Номер AS. Данные в этом поле нельзя изменить.
    • Единицы масштабирования шлюза: в этом примере выберите 1 единицу масштабирования — 500 Мбит/с x 2. Это значение должно соответствовать статистической пропускной способности VPN-шлюза, создаваемого в виртуальном концентраторе.
    • Вариант маршрутизации. В этом примере выберите сеть Майкрософт для маршрутизации трафика между Azure и Интернетом. Дополнительные сведения о предпочтениях маршрутизации через сеть Майкрософт или поставщик услуг Интернета (ISP) см. в статье о предпочтениях маршрутизации. Снимок экрана: страница
  5. Оставьте остальные параметры вкладки заданными по умолчанию и выберите "Проверить и создать ", чтобы проверить.
  6. Нажмите Создать, чтобы создать концентратор. Этот процесс может занять до 30 минут.
  7. Через 30 минут обновите центр на странице "Центры", а затем выберите "Перейти к ресурсу", чтобы перейти к ресурсу.

Получение сведений о VPN-шлюзе

Чтобы создать удаленную сеть в Центре администрирования Microsoft Entra, необходимо просмотреть и записать сведения о VPN-шлюзе для виртуального концентратора, созданного на предыдущем шаге.

  1. В новой виртуальной глобальной сети в разделе "Подключение" выберите "Центры".
  2. Выберите виртуальный концентратор.
  3. Выберите VPN (сеть — сеть).
  4. На странице "Виртуальный концентратор" выберите ссылку VPN-шлюз. Снимок экрана: страница VPN (сеть — сайт) с видимым каналом VPN-шлюз.
  5. На странице VPN-шлюз выберите представление JSON.
  6. Скопируйте текст JSON в файл для ссылки на предстоящие действия. Запишите автономный номер системы (ASN), IP-адрес устройства и адрес протокола BGP для использования в Центре администрирования Microsoft Entra на следующем шаге. 
       "bgpSettings": {
        "asn": 65515,
        "peerWeight": 0,
        "bgpPeeringAddresses": [
            {
                "ipconfigurationId": "Instance0",
                "defaultBgpIpAddresses": [
                    "10.101.0.12"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.250",
                    "10.101.0.4"
                ]
            },
            {
                "ipconfigurationId": "Instance1",
                "defaultBgpIpAddresses": [
                    "10.101.0.13"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.251",
                    "10.101.0.5"
                ]
            }
        ]
    }

Совет

Нельзя изменить значение ASN.

Создание удаленной сети в Центре администрирования Microsoft Entra

На этом шаге используйте сведения о сети из VPN-шлюза для создания удаленной сети в Центре администрирования Microsoft Entra. Первым шагом является указание имени и расположения удаленной сети.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
  2. Перейдите к удаленным сетям Global Secure Access>Connect>.
  3. Нажмите кнопку "Создать удаленную сеть " и укажите сведения.
    • Имя: в этом примере используйте Azure_vWAN.
    • Регион: в этом примере выберите южную центральную часть США.
  4. Нажмите кнопку "Далее": подключение для перехода на вкладку "Подключение".Снимок экрана: страница
  5. На вкладке "Подключение" добавьте ссылки устройства для удаленной сети. Создайте одну ссылку для экземпляра VPN-шлюза и еще одну ссылку для экземпляра VPN-шлюза1:
    1. Нажмите кнопку +Добавить ссылку.
    2. Заполните поля на вкладке "Общие" в форме "Добавить ссылку" с помощью конфигурации экземпляра VPN-шлюза из представления JSON:

      • Имя ссылки: имя локального оборудования клиента (CPE). В этом примере — Instance0.

      • Тип устройства: выберите вариант устройства из раскрывающегося списка. Установите значение "Другое".

      • IP-адрес устройства: общедоступный IP-адрес устройства. В этом примере используйте 203.0.113.250.

      • Адрес BGP устройства: введите IP-адрес протокола BGP для CPE. В этом примере используйте 10.101.0.4.

      • AsN устройства: укажите номер автономной системы (ASN) CPE. В этом примере ASN равно 65515.

      • Избыточность: задайте значение "Нет избыточности".

      • Локальный адрес BGP, избыточный между зонами: это необязательное поле отображается только при выборе избыточности зоны.

        • Введите IP-адрес BGP, который не входит в локальную сеть, где находится CPE, и отличается от локального BGP-адреса.

      • Емкость пропускной способности (Мбит/с):укажите пропускную способность туннеля. В этом примере задайте значение 250 Мбит/с.

      • Локальный адрес BGP: используйте IP-адрес BGP, который не входит в локальную сеть, где находится CPE, например 192.168.10.10.

        Снимок экрана: форма добавления ссылки со стрелками, показывающими связь между кодом JSON и сведениями о ссылке.

    3. Нажмите кнопку "Далее", чтобы просмотреть вкладку "Сведения". Сохраните параметры по умолчанию.
    4. Нажмите кнопку "Далее", чтобы просмотреть вкладку "Безопасность".
    5. Введите общий ключ (PSK). Тот же секретный ключ должен использоваться в CPE.
    6. Выберите кнопку Сохранить.

Дополнительные сведения о ссылках см. в статье " Управление ссылками удаленного сетевого устройства".

  1. Повторите описанные выше действия, чтобы создать вторую ссылку на устройство с помощью конфигурации экземпляра 1 VPN-шлюза.
    1. Нажмите кнопку +Добавить ссылку.
    2. Заполните поля на вкладке "Общие " в форме "Добавить ссылку " с помощью конфигурации VPN-шлюза Instance1 из представления JSON:
      • Имя ссылки: Instance1
      • Тип устройства: другие
      • IP-адрес устройства: 203.0.113.251
      • Адрес BGP устройства: 10.101.0.5
      • ASN устройства: 65515
      • Избыточность: избыточность не является избыточностью
      • Емкость пропускной способности (Мбит/с): 250 Мбит/с
      • Локальный адрес BGP: 192.168.10.11
    3. Нажмите кнопку "Далее", чтобы просмотреть вкладку "Сведения". Сохраните параметры по умолчанию.
    4. Нажмите кнопку "Далее", чтобы просмотреть вкладку "Безопасность".
    5. Введите общий ключ (PSK). Тот же секретный ключ должен использоваться в CPE.
    6. Выберите кнопку Сохранить.
  2. Перейдите на вкладку "Профили трафика" , чтобы выбрать профиль трафика, чтобы связаться с удаленной сетью.
  3. Выберите профиль трафика Microsoft 365.
  4. Выберите Review + create (Просмотреть и создать).
  5. Выберите "Создать удаленную сеть".

Перейдите на страницу удаленной сети, чтобы просмотреть сведения о новой удаленной сети. Должен быть один регион и два ссылки.

  1. В разделе "Сведения о подключении" выберите ссылку "Просмотр конфигурации ". Снимок экрана: страница удаленной сети с только что созданной областью, двумя ссылками и выделенной ссылкой
  2. Скопируйте текст конфигурации удаленной сети в файл для ссылки на предстоящие действия. Запишите адрес конечной точки, ASN и BGP для каждой ссылки (Instance0 и Instance1). 
       {
  "id": "68d2fab0-0efd-48af-bb17-d793f8ec8bd8",
  "displayName": "Instance0",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.32",
      "asn": 65476,
      "bgpAddress": "192.168.10.10",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.250",
    "asn": 65515,
    "bgpAddress": "10.101.0.4"
  }
},
{
  "id": "26500385-b1fe-4a1c-a546-39e2d0faa31f",
  "displayName": "Instance1",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.34",
      "asn": 65476,
      "bgpAddress": "192.168.10.11",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.251",
    "asn": 65515,
    "bgpAddress": "10.101.0.5"
  }
}

Создание VPN-сайта с помощью шлюза Майкрософт

На этом шаге создайте VPN-сайт, свяжите VPN-сайт с концентратором и проверьте подключение.

Создание VPN-сайта

  1. В microsoft портал Azure войдите в виртуальный концентратор, созданный на предыдущих шагах.
  2. Перейдите к VPN -подключению>(сайт к сайту).
  3. Выберите и создайте новый VPN-сайт.
  4. На странице "Создание VPN-сайта" заполните поля на вкладке "Основные сведения".
  5. Перейдите на вкладку "Ссылки ". Для каждой ссылки введите конфигурацию шлюза Майкрософт из конфигурации удаленной сети, указанной на шаге "Просмотр сведений":
    • Имя ссылки: в этом примере Instance0; Экземпляр1.
    • Скорость связи: в этом примере 250 для обоих ссылок.
    • Имя поставщика ссылок: задайте для обоих ссылок значение "Другие ".
    • Связать IP-адрес или полное доменное имя: используйте адрес конечной точки. В этом примере 203.0.113.32; 203.0.113.34.
    • Связывание адреса BGP: используйте адрес BGP, 192.168.10.10; 192.168.10.11.
    • Связывание ASN: используйте ASN. В этом примере для обоих ссылок используется 65476 . Снимок экрана: страница
  6. Выберите Review + create (Просмотреть и создать).
  7. Нажмите кнопку создания.

Создание подключения "сеть — сеть"

На этом шаге свяжите VPN-сайт из предыдущего шага с концентратором. Затем удалите связь концентратора по умолчанию:

  1. Перейдите к VPN -подключению>(сайт к сайту).
  2. Выберите X, чтобы удалить связь концентратора по умолчанию: подключено к этому фильтру концентратора, чтобы VPN-сайт появился в списке доступных VPN-сайтов. Снимок экрана: страница VPN (сеть — сайт) с выделенным X для фильтра сопоставлений концентратора.
  3. Выберите VPN-сайт из списка и выберите "Подключить VPN-сайты".
  4. В форме "Подключение сайтов" введите один и тот же общий ключ (PSK), используемый для Центра администрирования Microsoft Entra.
  5. Нажмите Подключиться.
  6. Через 30 минут vpn-сайт обновляется, чтобы отобразить значки успешности как состояния подготовки подключения, так и состояния подключения. Снимок экрана: страница VPN (сеть — сайт) с успешным состоянием подготовки подключений и подключения.

Проверьте подключение BGP и обучаемые маршруты в Microsoft портал Azure

На этом шаге используйте панель мониторинга BGP, чтобы проверить список обучающих маршрутов, которые обучает шлюз "сеть — сеть".

  1. Перейдите к VPN -подключению>(сайт к сайту).
  2. Выберите VPN-сайт, созданный на предыдущих шагах.
  3. Выберите панель мониторинга BGP.

На панели мониторинга BGP перечислены одноранговые узлы BGP (VPN-шлюзы и VPN-сайт), которые должны иметь состояние подключенного подключения.

  1. Чтобы просмотреть список обучающих маршрутов, выберите " Маршруты" шлюза "сеть — сеть" для обучения.

Список обученных маршрутов показывает, что шлюз "сеть — сеть" изучает маршруты Microsoft 365, перечисленные в профиле трафика Microsoft 365. Снимок экрана: страница

На следующем рисунке показаны политики профиля трафика и правила для профиля Microsoft 365, которые должны соответствовать маршрутам, извлеченным из шлюза "сеть — сеть". Снимок экрана: профили перенаправления трафика Microsoft 365 с соответствующими обучающимися маршрутами.

Проверка подключения в Центре администрирования Microsoft Entra

Просмотрите журналы работоспособности удаленной сети, чтобы проверить подключение в Центре администрирования Microsoft Entra.

  1. В Центре администрирования Microsoft Entra перейдите к журналам работоспособности удаленной сети global Secure Access>Monitor>.
  2. Выберите Добавить фильтр.
  3. Выберите исходный IP-адрес и введите исходный IP-адрес для IP-адреса экземпляра VPN-шлюза или экземпляра1. Выберите Применить.
  4. Подключение должно быть "Удаленная сеть жива".

Вы также можете проверить, отфильтровав по туннелямConnected или BGPConnected. Дополнительные сведения см. в разделе "Что такое журналы работоспособности удаленной сети?".

Настройка функций безопасности для тестирования

На этом шаге мы подготовимся к тестированию, настроив виртуальную сеть, добавив подключение виртуальной сети к виртуальной глобальной сети и создав виртуальный рабочий стол Azure.

Создание виртуальной сети

На этом шаге используйте портал Azure для создания виртуальной сети.

  1. На портале Azure найдите и выберите Виртуальные сети.
  2. На странице Виртуальные сети выберите команду + Создать.
  3. Перейдите на вкладку "Основные сведения", включая подписку, группу ресурсов, имя виртуальной сети и регион.
  4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".
  5. В разделе Бастиона Azure выберите "Включить бастион".
    • Введите имя узла Бастиона Azure. В этом примере используйте бастион Virtual_network_01-бастиона.
    • Выберите общедоступный IP-адрес Бастиона Azure. В этом примере выберите (Создать) по умолчанию. Снимок экрана: экран
  6. Нажмите кнопку "Далее ", чтобы перейти на вкладку " IP-адреса". Настройте адресное пространство виртуальной сети с одним или несколькими диапазонами адресов IPv4 или IPv6.

Совет

Не используйте перекрывающиеся адресные пространства. Например, если виртуальный концентратор, созданный на предыдущих шагах, использует адресное пространство 10.0.0.0/16, создайте эту виртуальную сеть с адресным пространством 10.2.0.0/16. 7. Выберите "Проверить и создать". После завершения проверки нажмите кнопку Создать.

Добавление подключения виртуальной сети к виртуальной глобальной сети

На этом шаге подключите виртуальную сеть к виртуальной глобальной сети.

  1. Откройте виртуальную глобальную сеть, созданную на предыдущих шагах, и перейдите к подключениям> к виртуальной сети подключения.
  2. Выберите + Add connection (+ Добавить подключение).
  3. Заполните форму добавления подключения, выбрав значения из виртуального концентратора и виртуальной сети, созданной в предыдущих разделах:
    • Имя подключения: VirtualNetwork
    • Центры: hub1
    • Подписка: подписка Contoso Azure
    • Группа ресурсов: GlobalSecureAccess_Documentation
    • Виртуальная сеть: VirtualNetwork
  4. Оставьте оставшиеся поля заданными значениями по умолчанию и нажмите кнопку "Создать". Снимок экрана: форма добавления подключения с примерами сведений в обязательных полях.

Создание виртуального рабочего стола Azure

На этом шаге создайте виртуальный рабочий стол и разместите его с бастионом.

  1. В портал Azure найдите и выберите виртуальный рабочий стол Azure.
  2. На странице "Виртуальный рабочий стол Azure" выберите "Создать пул узлов".
  3. Перейдите на вкладку "Основные сведения" следующим образом:
    • Имя пула узлов. В этом примере VirtualDesktops.
    • Расположение объекта Виртуального рабочего стола Azure. В этом случае центрально-южная часть США.
    • Предпочтительный тип группы приложений: выберите "Рабочий стол".
    • Тип пула узлов: выберите Pooled.
    • Алгоритм балансировки нагрузки: выберите "Ширина".
    • Максимальное ограничение сеанса: выберите 2.
  4. Нажмите кнопку "Далее": Виртуальные машины.
  5. Выполните следующую команду: Виртуальные машины вкладку:
    • Добавление виртуальных машин: Да
    • Требуемая группа ресурсов. В этом примере GlobalSecureAccess_Documentation.
    • Префикс имени: avd
    • Тип виртуальной машины: выберите виртуальную машину Azure.
    • Расположение виртуальной машины: южная часть США.
    • Параметры доступности: выберите "Не требуется избыточность инфраструктуры".
    • Тип безопасности: выберите надежную виртуальную машину запуска.
    • Включение безопасной загрузки: Да
    • Включение vTPM: Да
    • Изображение. В этом примере выберите Windows 11 Корпоративная нескольких сеансов и приложений Microsoft 365 версии 22H2.
    • Размер виртуальной машины: выберите стандартный D2s версии 3, 2 виртуальных ЦП, 8 ГБ памяти.
    • Количество виртуальных машин: 1
    • Виртуальная сеть: выберите виртуальную сеть, созданную на предыдущем шаге, VirtualNetwork.
    • Домен для присоединения: выберите идентификатор Microsoft Entra.
    • Введите учетные данные учетной записи администратора.
  6. Оставьте другие параметры по умолчанию и нажмите кнопку "Просмотр и создание".
  7. После завершения проверки нажмите кнопку Создать.
  8. Через 30 минут пул узлов обновится, чтобы показать, что развертывание завершено.
  9. Перейдите к домашней странице Microsoft Azure и выберите "Виртуальные машины".
  10. Выберите виртуальную машину, созданную на предыдущих шагах.
  11. Выберите "Подключить подключение>через бастион".
  12. Выберите Развернуть Бастион. Система занимает около 30 минут для развертывания узла Бастиона.
  13. После развертывания Бастиона введите те же учетные данные администратора, что и для создания виртуального рабочего стола Azure.
  14. Нажмите Подключиться. Запускается виртуальный рабочий стол.

Тестирование функций безопасности с помощью Виртуального рабочего стола Azure (AVD)

На этом шаге мы используем AVD для тестирования ограничений доступа к виртуальной сети.

Проверка ограничения клиента

Перед тестированием включите ограничения клиента в виртуальной сети.

  1. В Центре администрирования Microsoft Entra перейдите к управлению сеансами>параметров глобального безопасного доступа>.
  2. Задайте для включения тегов для принудительного применения ограничений клиента для переключения сети.
  3. Выберите Сохранить.
  4. Вы можете изменить политику доступа между клиентами, перейдя к >>параметрам доступа между клиентами. Дополнительные сведения см. в статье о межтенантном доступе.
  5. Сохраните параметры по умолчанию, которые препятствуют входу пользователей с помощью внешних учетных записей на управляемых устройствах.

Чтобы проверить:

  1. Войдите на виртуальную машину Виртуального рабочего стола Azure, созданную на предыдущих шагах.
  2. Перейдите к www.office.com и войдите с помощью внутреннего идентификатора организации. Этот тест должен пройти успешно.
  3. Повторите предыдущий шаг, но с внешней учетной записью. Этот тест должен завершиться ошибкой из-за заблокированного доступа.
    Снимок экрана: сообщение

Восстановление ИСХОДНОго IP-адреса теста

Перед тестированием включите условный доступ.

  1. В Центре администрирования Microsoft Entra перейдите к управлению сеансами>параметров глобального безопасного доступа>.
  2. Перейдите на вкладку Адаптивный доступ .
  3. Установите переключатель "Включить глобальный безопасный доступ" в переключателе условного доступа .
  4. Выберите Сохранить. Дополнительные сведения см. в статье о восстановлении ИСХОДНОго IP-адреса.

Чтобы протестировать (вариант 1): повторите тест ограничения клиента из предыдущего раздела:

  1. Войдите на виртуальную машину Виртуального рабочего стола Azure, созданную на предыдущих шагах.
  2. Перейдите к www.office.com и войдите с помощью внутреннего идентификатора организации. Этот тест должен пройти успешно.
  3. Повторите предыдущий шаг, но с внешней учетной записью. Этот тест должен завершиться ошибкой, так как исходный IP-адрес в сообщении об ошибке поступает из общедоступного IP-адреса VPN-шлюза вместо прокси-сервера Microsoft SSE, прокси-сервера запроса в Microsoft Entra.
    Снимок экрана: сообщение

Для тестирования (вариант 2):

  1. В Центре администрирования Microsoft Entra перейдите к журналам работоспособности удаленной сети global Secure Access>Monitor>.
  2. Выберите Добавить фильтр.
  3. Выберите исходный IP-адрес и введите общедоступный IP-адрес VPN-шлюза. Выберите Применить. Снимок экрана: страница журналов работоспособности удаленной сети с меню

Система восстанавливает IP-адрес локального оборудования (CPE) филиала. Так как VPN-шлюз представляет CPE, журналы работоспособности отображают общедоступный IP-адрес VPN-шлюза, а не IP-адрес прокси-сервера.

Удаление ненужных ресурсов

При завершении тестирования или в конце проекта рекомендуется удалить ресурсы, которые больше не нужны. Ресурсы, которые продолжат работать, могут быть платными. Вы можете удалить ресурсы по отдельности либо удалить всю группу ресурсов.