Hinzufügen und Löschen von Remotenetzwerk-Geräteverbindungen

Sie können einem Remotenetzwerk jederzeit eine Geräteverbindung hinzufügen.

1. Navigieren Sie zu Globaler sicherer Zugriff>Verbinden>Remotenetzwerke.

2. Wählen Sie ein Remotenetzwerk aus der Liste aus.

3. Wählen Sie im Menü Verbindungen aus.

4. Wählen Sie + Verbindung hinzufügen aus.

Verbindung hinzufügen – Registerkarte „Allgemein“

Auf der Registerkarte „Allgemein“ müssen einige Details eingegeben werden. Achten Sie genau auf die Peer- und lokale BGP-Adresse (Border Gateway Protocol). Die Peer- und lokalen Details werden je nachdem, wo die Konfiguration abgeschlossen wird, umgekehrt.

1. Geben Sie die folgenden Details ein:
   • Linkname: Name Ihrer lokalen Kundengeräte.
   • Gerätetyp: Wählen Sie eine Geräteoption aus der Dropdownliste aus.
   • Geräte-IP-Adresse: Öffentliche IP-Adresse Ihres CPE-Geräts (lokales Kundengerät).
   • Geräte-BGP-Adresse: Geben Sie die BGP-IP-Adresse Ihres CPE ein.
     • Diese Adresse wird als die lokale BGP-IP-Adresse auf den CPE eingegeben.
   • Geräte-ASN: Geben Sie die autonome Systemnummer (ASN) des CPE an.
     • Eine BGP-fähige Verbindung zwischen zwei Netzwerkgateways erfordert, dass sie über unterschiedliche ASNs verfügen.
     • Weitere Informationen finden Sie im Abschnitt Gültige ASNs des Artikels Remotenetzwerkkonfigurationen.
   • Redundanz: Wählen Sie entweder Keine Redundanz oder Zonenredundanz für Ihren IPSec-Tunnel aus.
   • Zonenredundante lokale BGP-Adresse: Dieses optionale Feld wird nur angezeigt, wenn Sie Zonenredundanz auswählen.
     • Geben Sie eine BGP-IP-Adresse ein, die nicht Teil des lokalen Netzwerks ist, in dem sich Ihre CPE befindet, und die sich von der BGP-Adresse des Geräts unterscheidet.
   • Bandbreitenkapazität (MBit/s): Geben Sie die Tunnelbandbreite an. Verfügbare Optionen sind 250, 500, 750 und 1.000 MBit/s.
   • Lokale BGP-Adresse: Geben Sie eine BGP-IP-Adresse ein, die nicht Teil Ihres lokalen Netzwerks ist, in dem sich Ihr CPE befindet.
     • Angenommen, Ihr lokales Netzwerk hat die Adresse 10.1.0.0/16. Dann können Sie 10.2.0.4 als lokale BGP-Adresse verwenden.
     • Diese Adresse wird als die Peer-BGP-IP-Adresse auf Ihren CPE eingegeben.
     • Reservierte Werte, die nicht verwendet werden können, finden Sie in der Liste gültiger BGP-Adressen.
2. Wählen Sie Weiter aus.

Verbindung hinzufügen – Registerkarte „Details“

Auf der Registerkarte Details richten Sie den bidirektionalen Kommunikationskanal zwischen „Globaler sicherer Zugriff“ und CPE ein. Konfigurieren Sie Ihre IPSec/IKE-Richtlinie, und wählen Sie Weiter aus.

• IKEv2 ist standardmäßig aktiviert. Derzeit wird nur IKEv2 unterstützt.
• Die IPSec-/IKE-Richtlinie ist auf Standard festgelegt, doch Sie können sie in Benutzerdefiniert ändern.
• Wenn Sie die benutzerdefinierte IPSec-/IKE-Richtlinie wählen, lesen Sie zunächst den Artikel Erstellen eines Remotenetzwerks mit benutzerdefinierter IKE-Richtlinie (Internet Key Exchange).
• Wenn Sie Benutzerdefiniert auswählen, müssen Sie eine Kombination von Einstellungen verwenden, die vom globalen sicheren Zugriff unterstützt wird. Die gültigen Konfigurationen, die Sie verwenden können, sind im Referenzartikel Gültige Remotenetzwerkkonfigurationen beschrieben.
• Unabhängig davon, ob Sie Standard oder Benutzerdefiniert auswählen, muss die IPSec/IKE-Richtlinie, die Sie angeben, mit der von Ihnen eingegebenen Richtlinie auf Ihrer CPE übereinstimmen.

Verbindung hinzufügen – Registerkarte „Sicherheit“

1. Geben Sie den vorinstallierten Schlüssel (Pre-shared key, PSK) und den vorinstallierten Schlüssel (Pre-Shared Key, PSK) für die Zonenredundanz ein. Derselbe geheime Schlüssel muss auf Ihrem jeweiligen CPE verwendet werden. Das Feld „Vorinstallierter Schlüssel (Pre-Shared Key, PSK) für Zonenredundanz“ wird nur angezeigt, wenn Sie Redundanz auf der ersten Seite beim Erstellen des Links festlegen.
2. Wählen Sie die Schaltfläche Speichern aus.

Remotenetzwerke mit einer benutzerdefinierten IKE-Richtlinie können mit Microsoft Graph auf dem /beta-Endpunkt erstellt werden.

1. Melden Sie sich bei Graph Explorer an.

2. Wählen Sie in der Dropdownliste POST als HTTP-Methode aus.

3. Legen Sie für die API-Version Beta fest.

4. Führen Sie die folgende Abfrage aus, um eine Liste Ihrer Remotenetzwerke und deren Details abzurufen:

   GET https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks
   

5. Führen Sie die folgende Abfrage aus, um die Geräteverbindungsdetails abzurufen.

   POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/{remoteNetworkId}/deviceLinks
   

Beispielantwort:

{
    "name": "CPE3",
    "ipAddress": "20.55.91.42",
    "deviceVendor": "ciscoMeraki",
    "bandwidthCapacityInMbps": "mbps1000",
    "bgpConfiguration": {
        "localIpAddress": "192.168.1.2",
        "peerIpAddress": "10.2.2.2",
        "asn": 65533
    },
    "redundancyConfiguration": {
        "redundancyTier": "zoneRedundancy",
        "zoneLocalIpAddress": "192.168.1.3"
    },
    "tunnelConfiguration": {
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default",
        "preSharedKey": "test123"
    }
}

1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.

2. Navigieren Sie zu Globaler sicherer Zugriff>Verbinden>Remotenetzwerke. Geräteverbindungen werden in der Spalte Geräteverbindungen in der Liste der Remotenetzwerke angezeigt.

3. Wählen Sie die Geräteverbindung in der Spalte Verbindungen aus, um direkt zur Detailseite der Geräteverbindung zu navigieren.

4. Wählen Sie Löschen für den Gerätelink aus, den Sie löschen möchten. Ein Bestätigungsdialogfeld wird angezeigt. Klicken Sie auf Löschen, um den Löschvorgang zu bestätigen.

   

1. Melden Sie sich bei Graph Explorer an.

2. Wählen Sie in der Dropdownliste DELETE als HTTP-Methode aus.

3. Legen Sie für die API-Version Beta fest.

4. Geben Sie die folgende Abfrage ein.

   DELETE https://graph.microsoft.com/beta/networkAccess/connectivity/remotenetworks/{remoteNetworkId}/deviceLinks/{deviceLinkId}