Dela via

Simulera fjärrnätverksanslutning med Azure vWAN

  • Artikel

Den här artikeln beskriver hur du simulerar fjärrnätverksanslutning med hjälp av ett virtuellt fjärrnätverk (vWAN). Om du vill simulera fjärrnätverksanslutning med hjälp av en virtuell Azure-nätverksgateway (VNG) kan du läsa artikeln Simulera fjärrnätverksanslutning med Azure VNG.

Förutsättningar

För att slutföra stegen i den här processen måste du ha följande förutsättningar på plats:

  • En Azure-prenumeration och behörighet att skapa resurser i Azure Portal.
  • En grundläggande förståelse för virtuella nätverk (vWAN).
  • En grundläggande förståelse för VPN-anslutningar från plats till plats.
  • En Microsoft Entra-klient med rollen Global administratör för säker åtkomst tilldelad.
  • En grundläggande förståelse för virtuella Azure-datorer eller virtuella Azure-datorer.

I det här dokumentet används följande exempelvärden, tillsammans med värdena i bilderna och stegen. Du kan konfigurera de här inställningarna enligt dina egna krav.

  • Prenumeration: Visual Studio Enterprise
  • Resursgruppsnamn: GlobalSecureAccess_Documentation
  • Region: USA, södra centrala

Steg på hög nivå

Stegen för att skapa ett fjärrnätverk med Azure vWAN kräver åtkomst till både Azure Portal och administrationscentret för Microsoft Entra. Om du enkelt vill växla mellan dem håller du Azure och Microsoft Entra öppna på separata flikar. Eftersom vissa resurser kan ta mer än 30 minuter att distribuera kan du avsätta minst två timmar för att slutföra den här processen. Påminnelse: Resurser som lämnas igång kan kosta pengar. När du är klar med testningen eller i slutet av ett projekt är det en bra idé att ta bort de resurser som du inte längre behöver.

  1. Konfigurera en vWAN i Azure Portal
    1. Skapa en vWAN
    2. Skapa en virtuell hubb med en plats-till-plats VPN-gatewayDen virtuella hubben tar cirka 30 minuter att distribuera.
    3. Hämta VPN Gateway-information
  2. Skapa ett fjärrnätverk i administrationscentret för Microsoft Entra
  3. Skapa en VPN-plats med hjälp av Microsoft-gatewayen
    1. Skapa en VPN-plats
    2. Skapa en plats-till-plats-anslutningPlats-till-plats-anslutningen tar cirka 30 minuter att distribuera.
    3. Kontrollera gränsgatewayprotokollanslutningar och inlärda vägar i Microsoft Azure Portal
    4. Kontrollera anslutningen i administrationscentret för Microsoft Entra
  4. Konfigurera säkerhetsfunktioner för testning
    1. Skapa ett virtuellt nätverk
    2. Lägga till en virtuell nätverksanslutning till vWAN
    3. Skapa ett virtuellt Azure-skrivbordAzure Virtual Desktop tar cirka 30 minuter att distribuera. Bastionen tar ytterligare 30 minuter.
  5. Testa säkerhetsfunktioner med Azure virtual Desktop (AVD)
    1. Testa klientbegränsningen
    2. Testkällans IP-återställning

Konfigurera en vWAN i Azure Portal

Det finns tre huvudsakliga steg för att konfigurera en vWAN:

  1. Skapa en vWAN
  2. Skapa en virtuell hubb med en plats-till-plats VPN-gateway
  3. Hämta VPN Gateway-information

Skapa ett vWAN

Skapa en vWAN för att ansluta till dina resurser i Azure. Mer information om vWAN finns i översikten över vWAN.

  1. Från Microsoft Azure Portal skriver du vWAN i sökrutan i fältet Sökresurser och väljer Retur.
  2. Välj vWAN:er i resultatet. På sidan vWAN väljer du + Skapa för att öppna sidan Skapa WAN.
  3. På sidan Skapa WAN fyller du i fälten på fliken Grundläggande . Ändra exempelvärdena så att de gäller för din miljö.
    • Prenumeration: Välj den prenumeration som du vill använda.
    • Resursgrupp: Skapa ny eller använd befintlig.
    • Plats för resursgrupp: Välj en resursplats i listrutan. Ett WAN är en global resurs och finns inte i en viss region. Du måste dock välja en region för att hantera och hitta den WAN-resurs som du skapar.
    • Namn: Ange det namn som du vill anropa din vWAN.
    • Typ: Basic eller Standard. Välj Standard. Om du väljer Grundläggande förstår du att grundläggande vWAN bara kan innehålla Basic-hubbar. Grundläggande hubbar kan bara användas för plats-till-plats-anslutningar.
  4. När du har fyllt i fälten väljer du Granska + skapa längst ned på sidan. Skärmbild av sidan Skapa WAN med slutförda fält.
  5. När valideringen har godkänts väljer du knappen Skapa .

Skapa en virtuell hubb med en VPN-gateway

Skapa sedan en virtuell hubb med en plats-till-plats-gateway för virtuellt privat nätverk (VPN):

  1. I den nya vWAN väljer du Hubbar under Anslutning.
  2. Välj + Ny hubb.
  3. På sidan Skapa virtuell hubbfliken Grundläggande fyller du i fälten enligt din miljö.
    • Region: Välj den region där du vill distribuera den virtuella hubben.
    • Namn: Namnet som du vill att den virtuella hubben ska vara känd för.
    • Nav privat adressutrymme: I det här exemplet använder du 10.101.0.0/24. För att skapa en hubb måste adressintervallet vara i CIDR-notation (Classless Inter-Domain Routing) och ha ett minsta adressutrymme på /24.
    • Kapacitet för virtuell hubb: I det här exemplet väljer du 2 routningsinfrastrukturenheter, 3 Gbit/s-router, Stöder 2 000 virtuella datorer. Mer information finns i Inställningar för virtuell hubb.
    • Inställningar för hubbdirigering: Lämna som standard. Mer information finns i Inställningar för routning av virtuell hubb.
    • Välj Nästa: Plats till plats >. Skärmbild av sidan Skapa virtuell hubb på fliken Grundinställningar med slutförda fält.
  4. På fliken Webbplats till webbplats fyller du i följande fält:
    • Välj Ja för att skapa en plats-till-plats (VPN-gateway).
    • AS-nummer: AS-nummerfältet kan inte redigeras.
    • Gatewayskalningsenheter: I det här exemplet väljer du 1 skalningsenhet – 500 Mbit/s x 2. Det här värdet bör ligga i linje med det aggregerade dataflödet för VPN-gatewayen som skapas i den virtuella hubben.
    • Routningsinställning: I det här exemplet väljer du Microsoft-nätverk för hur du dirigerar trafiken mellan Azure och Internet. Mer information om routningsinställningar via ett Microsoft-nätverk eller en Internetleverantör (ISP) finns i artikeln Inställningar för routning. Skärmbild av sidan Skapa virtuell hubb på fliken Webbplats till webbplats med slutförda fält.
  5. Låt de återstående flikalternativen vara inställda på standardinställningarna och välj Granska + skapa för att verifiera.
  6. Välj Skapa för att skapa hubben och gatewayen. Den här processen kan ta upp till 30 minuter.
  7. Efter 30 minuter uppdaterar du för att visa hubben på sidan Hubbar och väljer sedan Gå till resurs för att navigera till resursen.

Hämta VPN Gateway-information

Om du vill skapa ett fjärrnätverk i administrationscentret för Microsoft Entra måste du visa och registrera VPN-gatewayinformationen för den virtuella hubb som du skapade i föregående steg.

  1. I den nya vWAN väljer du Hubbar under Anslutning.
  2. Välj den virtuella hubben.
  3. Välj VPN (plats till plats).
  4. På sidan Virtuell hubb väljer du LÄNKEN VPN Gateway . Skärmbild av VPN-sidan (plats till plats) med LÄNKEN VPN Gateway synlig.
  5. På sidan VPN Gateway väljer du JSON-vy.
  6. Kopiera JSON-texten till en fil som referens i kommande steg. Anteckna det autonoma systemnumret (ASN), enhetens IP-adress och BGP-adressen (Device Border Gateway Protocol) som ska användas i administrationscentret för Microsoft Entra i nästa steg. 
       "bgpSettings": {
        "asn": 65515,
        "peerWeight": 0,
        "bgpPeeringAddresses": [
            {
                "ipconfigurationId": "Instance0",
                "defaultBgpIpAddresses": [
                    "10.101.0.12"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.250",
                    "10.101.0.4"
                ]
            },
            {
                "ipconfigurationId": "Instance1",
                "defaultBgpIpAddresses": [
                    "10.101.0.13"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.251",
                    "10.101.0.5"
                ]
            }
        ]
    }

Dricks

Du kan inte ändra ASN-värdet.

Skapa ett fjärrnätverk i administrationscentret för Microsoft Entra

I det här steget använder du nätverksinformationen från VPN-gatewayen för att skapa ett fjärrnätverk i administrationscentret för Microsoft Entra. Det första steget är att ange namn och plats för fjärrnätverket.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.
  2. Gå till Globala fjärrnätverk för säker åtkomstanslutning>>.
  3. Välj knappen Skapa fjärrnätverk och ange informationen.
    • Namn: I det här exemplet använder du Azure_vWAN.
    • Region: I det här exemplet väljer du USA, södra centrala.
  4. Välj Nästa: Anslutning för att gå vidare till fliken Anslutning . Skärmbild av sidan Skapa ett fjärrnätverk på fliken Grundläggande med knappen Nästa: Anslutning markerad.
  5. På fliken Anslutning lägger du till enhetslänkar för fjärrnätverket. Skapa en länk för VPN-gatewayens Instance0 och en annan länk för VPN-gatewayens Instance1:
    1. Välj + Lägg till en länk.
    2. Fyll i fälten på fliken Allmänt i formuläret Lägg till en länk med vpn-gatewayens Instance0-konfiguration från JSON-vyn:

      • Länknamn: Namnet på din kundlokal utrustning (CPE). I det här exemplet, Instance0.

      • Enhetstyp: Välj ett enhetsalternativ i listrutan. Ange till Övrigt.

      • Enhetens IP-adress: Enhetens offentliga IP-adress. I det här exemplet använder du 203.0.113.250.

      • Enhetens BGP-adress: Ange BGP-IP-adressen (Border Gateway Protocol) för din CPE. I det här exemplet använder du 10.101.0.4.

      • Enhets-ASN: Ange det autonoma systemnumret (ASN) för CPE. I det här exemplet är ASN 65515.

      • Redundans: Ställ in på Ingen redundans.

      • Zonredundant lokal BGP-adress: Det här valfria fältet visas endast när du väljer Zonredundans.

        • Ange en BGP IP-adress som inte ingår i ditt lokala nätverk där CPE finns och skiljer sig från den lokala BGP-adressen.

      • Bandbreddskapacitet (Mbit/s): Ange tunnelbandbredd. I det här exemplet anger du till 250 Mbit/s.

      • Lokal BGP-adress: Använd en BGP IP-adress som inte ingår i ditt lokala nätverk där CPE finns, till exempel 192.168.10.10.

        Skärmbild av lägg till ett länkformulär med pilar som visar relationen mellan JSON-koden och länkinformationen.

    3. Välj knappen Nästa för att visa fliken Information. Behåll standardinställningarna.
    4. Välj knappen Nästa för att visa fliken Säkerhet.
    5. Ange den i förväg delade nyckeln (PSK). Samma hemliga nyckel måste användas på cpe-enheten.
    6. Klicka på knappen Spara.

Mer information om länkar finns i artikeln Hantera länkar för fjärrnätverksenheter.

  1. Upprepa stegen ovan för att skapa en andra enhetslänk med vpn-gatewayens Instance1-konfiguration .
    1. Välj + Lägg till en länk.
    2. Fyll i fälten på fliken Allmänt i formuläret Lägg till en länk med vpn-gatewayens Instance1-konfiguration från JSON-vyn:
      • Länknamn: Instance1
      • Enhetstyp: Övrigt
      • Enhetens IP-adress: 203.0.113.251
      • Enhetens BGP-adress: 10.101.0.5
      • Enhets-ASN: 65515
      • Redundans: Ingen redundans
      • Bandbreddskapacitet (Mbit/s): 250 Mbit/s
      • Lokal BGP-adress: 192.168.10.11
    3. Välj knappen Nästa för att visa fliken Information. Behåll standardinställningarna.
    4. Välj knappen Nästa för att visa fliken Säkerhet.
    5. Ange den i förväg delade nyckeln (PSK). Samma hemliga nyckel måste användas på cpe-enheten.
    6. Klicka på knappen Spara.
  2. Fortsätt till fliken Trafikprofiler för att välja den trafikprofil som ska länkas till fjärrnätverket.
  3. Välj Microsoft 365-trafikprofil.
  4. Välj Granska + skapa.
  5. Välj Skapa fjärrnätverk.

Gå till sidan Fjärrnätverk för att visa information om det nya fjärrnätverket. Det bör finnas en region och två länkar.

  1. Under Anslutningsinformation väljer du länken Visa konfiguration . Skärmbild av sidan Fjärrnätverk med den nyligen skapade regionen, dess två länkar och länken Visa konfiguration markerad.
  2. Kopiera konfigurationstexten för fjärrnätverk till en fil som referens i kommande steg. Anteckna slutpunkten, ASN- och BGP-adressen för var och en av länkarna (Instance0 och Instance1). 
       {
  "id": "68d2fab0-0efd-48af-bb17-d793f8ec8bd8",
  "displayName": "Instance0",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.32",
      "asn": 65476,
      "bgpAddress": "192.168.10.10",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.250",
    "asn": 65515,
    "bgpAddress": "10.101.0.4"
  }
},
{
  "id": "26500385-b1fe-4a1c-a546-39e2d0faa31f",
  "displayName": "Instance1",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.34",
      "asn": 65476,
      "bgpAddress": "192.168.10.11",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.251",
    "asn": 65515,
    "bgpAddress": "10.101.0.5"
  }
}

Skapa en VPN-plats med hjälp av Microsoft-gatewayen

I det här steget skapar du en VPN-plats, associerar VPN-platsen med hubben och validerar sedan anslutningen.

Skapa en VPN-plats

  1. I Microsoft Azure Portal loggar du in på den virtuella hubb som skapades i föregående steg.
  2. Gå till Anslutnings-VPN>(plats till plats).
  3. Välj + Skapa ny VPN-plats.
  4. På sidan Skapa VPN-webbplats fyller du i fälten på fliken Grundläggande .
  5. Fortsätt till fliken Länkar . För varje länk anger du Microsoft Gateway-konfigurationen från fjärrnätverkskonfigurationen som anges i steget "Visa information":
    • Länknamn: I det här exemplet Instance0; Instans 1.
    • Länkhastighet: I det här exemplet 250 för båda länkarna.
    • Länkproviderns namn: Ställ in på Annan för båda länkarna.
    • Länka IP-adress/FQDN: Använd slutpunktsadressen. I det här exemplet 203.0.113.32; 203.0.113.34.
    • Länk-BGP-adress: Använd BGP-adressen 192.168.10.10; 192.168.10.11.
    • Länk-ASN: Använd ASN. I det här exemplet 65476 för båda länkarna. Skärmbild av sidan Skapa VPN på fliken Länkar med slutförda fält.
  6. Välj Granska + skapa.
  7. Välj Skapa.

Skapa en plats-till-plats-anslutning

I det här steget associerar du VPN-platsen från föregående steg med hubben. Ta sedan bort standardhubbens association:

  1. Gå till Anslutnings-VPN>(plats till plats).
  2. Välj X för att ta bort standardhubbassociationen : Ansluten till det här hubbfiltret så att VPN-platsen visas i listan över tillgängliga VPN-platser. Skärmbild av vpn-sidan (plats till plats) med X markerat för hubbassocieringsfiltret.
  3. Välj VPN-platsen i listan och välj Anslut VPN-platser.
  4. I formuläret Anslut webbplatser skriver du samma I förväg delade nyckel (PSK) som används för administrationscentret för Microsoft Entra.
  5. Välj Anslut.
  6. Efter cirka 30 minuter uppdateras VPN-webbplatsen för att visa ikoner för lyckade resultat för både status för anslutningsetablering och anslutningsstatus. Skärmbild av vpn-sidan (plats-till-plats) som visar status för både anslutningsetablering och anslutning.

Kontrollera BGP-anslutningar och inlärda vägar i Microsoft Azure Portal

I det här steget använder du BGP-instrumentpanelen för att kontrollera listan över inlärda vägar som plats-till-plats-gatewayen lär sig.

  1. Gå till Anslutnings-VPN>(plats till plats).
  2. Välj VPN-platsen som skapade föregående steg.
  3. Välj BGP-instrumentpanel.

BGP-instrumentpanelen visar en lista över BGP-peer-datorer (VPN-gatewayer och VPN-plats), som ska ha statusen Ansluten.

  1. Om du vill visa listan över inlärda vägar väljer du Vägar som plats-till-plats-gatewayen lär sig.

Listan över inlärda vägar visar att plats-till-plats-gatewayen lär sig De Microsoft 365-vägar som anges i Microsoft 365-trafikprofilen. Skärmbild av sidan Inlärda vägar med de inlärda Microsoft 365-vägarna markerade.

Följande bild visar trafikprofilens principer och regler för Microsoft 365-profilen, som ska matcha de vägar som lärts från plats-till-plats-gatewayen. Skärmbild av microsoft 365-profiler för trafikvidarebefordring som visar matchande inlärda vägar.

Kontrollera anslutningen i administrationscentret för Microsoft Entra

Visa hälsologgarna för fjärrnätverk för att verifiera anslutningen i administrationscentret för Microsoft Entra.

  1. I administrationscentret för Microsoft Entra går du till Globala hälsologgar för säker åtkomstövervakare>> för fjärrnätverk.
  2. Välj Lägg till filter.
  3. Välj Käll-IP och skriv käll-IP-adressen för VPN-gatewayens IP-adress Instance0 eller Instance1 . Välj Använd.
  4. Anslutningen ska vara "Fjärrnätverk vid liv".

Du kan också verifiera genom att filtrera efter tunnelAnsluten eller BGPConnected. Mer information finns i Vad är hälsotillståndsloggar för fjärrnätverk?.

Konfigurera säkerhetsfunktioner för testning

I det här steget förbereder vi oss för testning genom att konfigurera ett virtuellt nätverk, lägga till en virtuell nätverksanslutning till vWAN och skapa ett Azure Virtual Desktop.

Skapa ett virtuellt nätverk

I det här steget använder du Azure Portal för att skapa ett virtuellt nätverk.

  1. I Azure Portal söker du efter och väljer Virtuella nätverk.
  2. På sidan Virtuella nätverk väljer du + Skapa.
  3. Fyll i fliken Grundläggande, inklusive prenumerationen, resursgruppen, namnet på det virtuella nätverket och regionen.
  4. Välj Nästa för att fortsätta till fliken Säkerhet .
  5. I avsnittet Azure Bastion väljer du Aktivera Bastion.
    • Ange Värdnamnet för Azure Bastion. I det här exemplet använder du Virtual_network_01-bastion.
    • Välj den offentliga IP-adressen för Azure Bastion. I det här exemplet väljer du standardvärdet (Ny). Skärmbild av skärmen Skapa virtuellt nätverk på fliken Säkerhet som visar Bastion-inställningarna.
  6. Välj Nästa för att gå vidare till fliken IP-adresser. Konfigurera adressutrymmet för det virtuella nätverket med ett eller flera IPv4- eller IPv6-adressintervall.

Dricks

Använd inte ett överlappande adressutrymme. Om den virtuella hubben som skapades i föregående steg till exempel använder adressutrymmet 10.0.0.0/16 skapar du det här virtuella nätverket med adressutrymmet 10.2.0.0/16. 7. Välj Granska + skapa. När valideringen har godkänts väljer du Skapa.

Lägga till en virtuell nätverksanslutning till vWAN

I det här steget ansluter du det virtuella nätverket till vWAN.

  1. Öppna vWAN som skapades i föregående steg och gå till Anslutningar>Virtuella nätverksanslutningar.
  2. Välj + Lägg till anslutning.
  3. Fyll i formuläret Lägg till anslutning och välj värdena från den virtuella hubben och det virtuella nätverket som skapades i föregående avsnitt:
    • Anslutningsnamn: VirtualNetwork
    • Hubbar: hub1
    • Prenumeration: Contoso Azure-prenumeration
    • Resursgrupp: GlobalSecureAccess_Documentation
    • Virtuellt nätverk: VirtualNetwork
  4. Låt de återstående fälten vara inställda på standardvärdena och välj Skapa. Skärmbild av lägg till anslutningsformulär med exempelinformation i de obligatoriska fälten.

Skapa ett Azure Virtual Desktop

I det här steget skapar du ett virtuellt skrivbord och är värd för det med Bastion.

  1. I Azure Portal söker du efter och väljer Azure Virtual Desktop.
  2. På sidan Azure Virtual Desktop väljer du Skapa en värdpool.
  3. Slutför fliken Grundläggande med följande:
    • Namnet på värdpoolen. I det här exemplet VirtualDesktops.
    • Platsen för Azure Virtual Desktop-objektet. I det här fallet USA, södra centrala.
    • Önskad appgruppstyp: välj Skrivbord.
    • Typ av värdpool: välj Pooled.
    • Belastningsutjämningsalgoritm: välj Bredd-först.
    • Maximal sessionsgräns: välj 2.
  4. Välj Nästa: Virtuella datorer.
  5. Slutför fliken Nästa: Virtuella datorer med följande:
    • Lägg till virtuella datorer: Ja
    • Önskad resursgrupp. I det här exemplet GlobalSecureAccess_Documentation.
    • Namnprefix: avd
    • Typ av virtuell dator: välj Virtuell Azure-dator.
    • Plats för virtuell dator: USA, södra centrala.
    • Tillgänglighetsalternativ: välj Ingen infrastrukturredundans krävs.
    • Säkerhetstyp: välj Betrodd virtuell startdator.
    • Aktivera säker start: Ja
    • Aktivera vTPM: Ja
    • Bild: I det här exemplet väljer du Windows 11 Enterprise multi-session + Microsoft 365-appar version 22H2.
    • Storlek på virtuell dator: välj Standard D2s v3, 2 vCPU:er, 8 GB minne.
    • Antal virtuella datorer: 1
    • Virtuellt nätverk: Välj det virtuella nätverk som skapades i föregående steg, VirtualNetwork.
    • Domän att ansluta till: välj Microsoft Entra-ID.
    • Ange autentiseringsuppgifterna för administratörskontot.
  6. Låt andra alternativ vara standard och välj Granska + skapa.
  7. När valideringen har godkänts väljer du Skapa.
  8. Efter cirka 30 minuter uppdateras värdpoolen för att visa att distributionen är klar.
  9. Gå till Microsoft Azure Home och välj Virtuella datorer.
  10. Välj den virtuella dator som skapades i föregående steg.
  11. Välj Anslut anslut>via Bastion.
  12. Välj Distribuera Bastion. Det tar cirka 30 minuter att distribuera Bastion-värden.
  13. När Bastion har distribuerats anger du samma administratörsautentiseringsuppgifter som används för att skapa Azure Virtual Desktop.
  14. Välj Anslut. Det virtuella skrivbordet startas.

Testa säkerhetsfunktioner med Azure Virtual Desktop (AVD)

I det här steget använder vi AVD för att testa åtkomstbegränsningar för det virtuella nätverket.

Testa klientbegränsningen

Innan du testar aktiverar du klientbegränsningar för det virtuella nätverket.

  1. I administrationscentret för Microsoft Entra går du till Sessionshantering för globala inställningar för säker åtkomst>>.
  2. Ange aktivera taggning för att framtvinga klientbegränsningar i nätverket.
  3. Välj Spara.
  4. Du kan ändra åtkomstprincipen för flera klientorganisationer genom att gå till Identitet>Externa identiteter Åtkomstinställningar för flera klientorganisationer.> Mer information finns i artikeln Översikt över åtkomst mellan klientorganisationer.
  5. Behåll standardinställningarna, vilket hindrar användare från att logga in med externa konton på hanterade enheter.

Så här testar du:

  1. Logga in på den virtuella Azure Virtual Desktop-dator som skapades i föregående steg.
  2. Gå till www.office.com och logga in med ett internt organisations-ID. Det här testet bör klaras.
  3. Upprepa föregående steg, men med ett externt konto. Det här testet bör misslyckas på grund av blockerad åtkomst.
    Skärmbild av meddelandet

Testkällans IP-återställning

Aktivera villkorlig åtkomst innan du testar.

  1. I administrationscentret för Microsoft Entra går du till Sessionshantering för globala inställningar för säker åtkomst>>.
  2. Välj fliken Anpassningsbar åtkomst .
  3. Ange aktivera global signal för säker åtkomst i villkorsstyrd åtkomst.
  4. Välj Spara. Mer information finns i artikeln Återställning av käll-IP.

Testa (alternativ 1): Upprepa begränsningstestet för klientorganisationen från föregående avsnitt:

  1. Logga in på den virtuella Azure Virtual Desktop-dator som skapades i föregående steg.
  2. Gå till www.office.com och logga in med ett internt organisations-ID. Det här testet bör klaras.
  3. Upprepa föregående steg, men med ett externt konto. Det här testet bör misslyckas eftersom käll-IP-adressen i felmeddelandet kommer från den offentliga IP-adressen för VPN-gatewayen i stället för att Microsoft SSE proxyar begäran till Microsoft Entra.
    Skärmbild av meddelandet

Testa (alternativ 2):

  1. I administrationscentret för Microsoft Entra går du till Globala hälsologgar för säker åtkomstövervakare>> för fjärrnätverk.
  2. Välj Lägg till filter.
  3. Välj Käll-IP och skriv den offentliga IP-adressen för VPN-gatewayen. Välj Använd. Skärmbild av sidan Fjärrnätverkshälsologgar med menyn Lägg till filter öppen redo att skriva käll-IP.

Systemet återställer avdelningskontorets IP-adress för kundlokal utrustning (CPE). Eftersom VPN-gatewayen representerar CPE visar hälsologgarna vpn-gatewayens offentliga IP-adress, inte proxyns IP-adress.

Ta bort onödiga resurser

När du är klar med testningen eller i slutet av ett projekt är det en bra idé att ta bort de resurser som du inte längre behöver. Resurser som fortsätter att köras kostar pengar. Du kan ta bort enstaka resurser eller hela resursgruppen om du vill ta bort alla resurser.