グローバル セキュア アクセスのカスタム IKE ポリシーを使ってリモート ネットワークを作成する

カスタム IKE ポリシーを設定したリモート ネットワークを、Microsoft Entra 管理センターで作成するには、以下の手順を実行します。

1. Microsoft Entra 管理センターに、Global Secure Access 管理者としてサインインします。

2. [Global Secure Access]>[接続]>[リモート ネットワーク] の順に移動します。

3. [リモート ネットワークの作成] を選択します。

4. リモート ネットワークの名前とリージョンを指定して、[次へ: 接続] を選びます。

5. [+ リンクの追加] を選んで、CPE の接続の詳細を追加します。

リンクの追加 - [全般] タブ

[全般] タブには、入力する設定項目が数件あります。ピア BGP アドレスとローカル BGP アドレスの設定には特に注意してください。 構成作業を実行する場所によって、ピアとローカルの設定内容は逆になります。

1. 次の詳細を入力します。

   • リンク名: CPE の名前。
   • デバイスの種類: ドロップダウン リストからデバイス オプションを選択します。
   • デバイスの IP アドレス: デバイスのパブリック IP アドレス。
   • デバイスの BGP アドレス: CPE の BGP IP アドレスを入力します。
     • これは、CPE 側にはローカル BGP IP アドレスとして入力するアドレスです。
   • デバイスの ASN: CPE の自律システム番号 (ASN) を指定します。
     • 2 つのネットワーク ゲートウェイを BGP 対応接続で結ぶには、それらのゲートウェイが異なる ASN を持っている必要があります。
     • 予約済みで使用できない値については、有効な ASN 値の一覧を参照してください。
   • 冗長性: IPSec トンネルの [冗長性なし] または [ゾーン冗長] を選択します。
   • ゾーン冗長ローカル BGP アドレス: これは、ゾーン冗長を選択した場合にのみ表示されるオプション フィールドです。
     • CPE を設置するオンプレミス ネットワークに "含まれない"、かつ、ローカル BGP アドレスとは異なる BGP IP アドレスを入力します。
   • 帯域幅容量 (Mbps): トンネル帯域幅を指定します。 使用可能なオプションは、250、500、750、1000 Mbps です。
   • ローカル BGP アドレス: CPE が存在するオンプレミス ネットワークに含まれない BGP IP アドレスを入力します。
     • たとえば、オンプレミス ネットワークが 10.1.0.0/16 である場合、10.2.0.4 はローカル BGP アドレスとして使用可能です。
     • これは、CPE 側にはピア BGP IP アドレスとして入力するアドレスです。
     • 予約済みで使用できない値については、有効な BGP アドレスの一覧を参照してください。

2. 次へを選択します。

リンクの追加 - [詳細] タブ

1. IKEv2 が既定で選択されています。 現在サポートされている設定は IKEv2 のみです。

2. IPSec/IKE ポリシーを [カスタム] に変更します。

3. フェーズ 1 の組み合わせについて、暗号化、IKEv2 整合性、DHGroup の設定を選択します。

   • 選択内容の組み合わせは、リモート ネットワークの有効な構成 リファレンス記事に記載されている使用可能なオプションに適合している必要があります。

4. フェーズ 2 の組み合わせについて、IPsec 暗号化、IPsec 整合性、PFS グループ、SA の有効期間 (秒) の設定を選択します。

   • 選択内容の組み合わせは、リモート ネットワークの有効な構成 リファレンス記事に記載されている使用可能なオプションに適合している必要があります。

5. [既定] と [カスタム] のどちらを選択する場合も、指定する IPSec/IKE ポリシーは CPE の暗号化ポリシーと一致する必要があります。

6. [次へ] を選択します。

   

リンクの追加 - [セキュリティ] タブ

1. 事前共有キー (PSK) とゾーン冗長事前共有キー (PSK) を入力します。 それぞれの CPE で同じ秘密鍵を使う必要があります。 ゾーン冗長事前共有キー (PSK) フィールドは、リンクを作成する最初のページで冗長が設定されている場合にのみ表示されます。
2. [保存] を選択します。

カスタム IKE ポリシーを持つリモート ネットワークは、/beta エンドポイント上の Microsoft Graph を使用して作成できます。

1. グラフ エクスプローラーにサインインします
2. ドロップダウンから HTTP メソッドとして [POST] を選択します。
3. API バージョンを [ベータ] に設定します。
4. 次のクエリを追加してから、[クエリの実行] を選びます。

    POST https://graph.microsoft.com/beta/networkaccess/connectivity/branches
{
    "name": "BranchOffice_CustomIKE",
    "region": "eastUS", 
    "deviceLinks": [
        {
            "name": "custom link",
            "ipAddress": "114.20.4.14",
            "deviceVendor": "ciscoMeraki",
            "tunnelConfiguration": {
                "saLifeTimeSeconds": 300,
                "ipSecEncryption": "gcmAes128",
                "ipSecIntegrity": "gcmAes128",
                "ikeEncryption": "aes128",
                "ikeIntegrity": "sha256",
                "dhGroup": "ecp384",
                "pfsGroup": "ecp384",
                "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Custom",
                "preSharedKey": "SHAREDKEY"
            },
            "bgpConfiguration": {
                "localIpAddress": "10.1.1.11",
                "peerIpAddress": "10.6.6.6",
                "asn": 65000
            },
            "redundancyConfiguration": {
                "redundancyTier": "zoneRedundancy",
                "zoneLocalIpAddress": "10.1.1.12"
            },
            "bandwidthCapacityInMbps": "mbps250"
        }
    ]
}