为全球安全访问配置客户本地设备

IPSec 隧道是双向通信。 在全球安全访问中添加通向远程网络的设备链接时，会建立通信的一端。 在此过程中，你在 Microsoft Entra 管理中心内输入你的公共 IP 地址和边界网关协议 (BGP) 地址，以告知我们有关你的网络配置的信息。

本文提供了设置信道另一端的步骤。

先决条件

若要配置客户本地设备 (CPE)，必须具备：

• Microsoft Entra ID 中的全局安全访问管理员角色。
• 产品需要经过许可。 有关详细信息，请参阅什么是全球安全访问的许可部分。 如果需要，可以购买许可证或获取试用许可证。
• 若要配置 CPE，必须已完成全局安全访问的载入过程。

如何配置客户本地设备

可以在 Microsoft Entra 管理中心或使用 Microsoft Graph API 来设置 CPE。 创建远程网络并添加设备链接信息时，会生成配置详细信息。 配置 CPE 需要这些详细信息。

Microsoft Entra 管理中心

1. 以全局安全访问管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“全球安全访问”>“连接”>“远程网络”。

3. 为需要配置的远程网络选择“查看配置”。

   

4. 从打开的面板中找到并保存 Microsoft 的公共 IP 地址 endpoint。

   

5. 在 CPE 的首选接口中，输入在上一步中保存的 IP 地址。 此步骤完成 IPSec 隧道配置。

下图突出显示了设备配置详细信息的各个主要部分。 每个部分的文字说明都遵循关系图。

• branchId 和 branchName 表示远程网络详细信息。
• displayName 为设备链接名称。
• endpoint、asn、bgpAddress 和 region 表示 Microsoft 连接详细信息。 输入有关 CPE 的这些详细信息。
• 对于区域冗余设备链接，会生成第二组详细信息。
• PeerConfiguration 和后续详细信息表示 CPE 连接详细信息。
• 如果你配置了更多设备，随后还会显示它们的详细信息。

重要

为设备链接指定的加密配置文件应与在 CPE 上指定的信息匹配。 如果在配置设备链接时选择了“默认”IKE 策略，请使用在文章“远程网络配置”中所述的配置。

Microsoft 图形 API

按照这些说明，下载远程网络的连接信息。

1. 登录到图形资源管理器。

2. 从下拉列表中选择 GET 作为 HTTP 方法。

3. 将 API 版本设置为“beta 版本”。

4. 运行以下查询，列出远程网络及其设备链接：

   GET https://graph.microsoft.com/beta/networkaccess/connectivity/branches
   

5. 运行以下查询以获取连接信息，将 {branchSiteId} 替换为远程网络的 ID，将 {deviceLinkId} 替换为设备链接的 ID：

   GET https://graph.microsoft.com/beta/networkAccess/connectivity/branches/{branchSiteId}/deviceLinks/{deviceLinkId}
   

响应中的详细信息类似于在 Microsoft Entra 管理中心找到的设备配置详细信息。

后续步骤

• 如何管理远程网络
• 如何管理远程网络设备链接