リモート ネットワークのデバイス リンクを追加および削除する

リモート ネットワークにデバイス リンクを追加する操作は、いつでも実行できます。

1. Microsoft Entra 管理センターに、Global Secure Access 管理者としてサインインします。

2. [Global Secure Access ]>[デバイス]>[リモート ネットワーク] を参照します。

3. 一覧からリモート ネットワークを選択します。

   

4. メニューから [リンク] を選択します。

5. [+ リンクの追加] ボタンを選択します。

   

リンクの追加 - [全般] タブ

[全般] タブには、入力する設定項目が数件あります。ピアとローカルの Border Gateway Protocol (BGP) アドレスには特に注意してください。 構成作業を実行する場所によって、ピアとローカルの設定内容は逆になります。

1. 以下の詳細情報を入力します。
   • リンク名: 顧客のオンプレミス機器 (CPE) の名前。
   • デバイスの種類: ドロップダウン リストからデバイス オプションを選択します。
   • IP アドレス: デバイスのパブリック IP アドレス。
   • ピア BGP アドレス: CPE の BGP IP アドレスを入力します。
     • これは、CPE 側にはローカル BGP IP アドレスとして入力するアドレスです。
   • ローカル BGP アドレス: CPE が存在するオンプレミス ネットワークに含まれない BGP IP アドレスを入力します。
     • たとえば、オンプレミス ネットワークが 10.1.0.0/16 である場合、10.2.0.4 はローカル BGP アドレスとして使用可能です。
     • これは、CPE 側にはピア BGP IP アドレスとして入力するアドレスです。
   • リンク ASN: CPE の自律システム番号 (ASN) を指定します。
     • 2 つのネットワーク ゲートウェイ間の BGP 対応接続では、それらが異なる自律システム番号 (AS 番号) を持っている必要があります。
     • 詳細については、「Global Secure Access リモート ネットワーク構成」で、有効な ASN に関するセクションを参照してください。
   • 冗長性: IPSec トンネルの [冗長性なし] または [ゾーン冗長] を選択します。
   • ゾーン冗長ローカル BGP アドレス: これは、ゾーン冗長を選択した場合にのみ表示されるオプション フィールドです。
     • CPE が存在するオンプレミス ネットワークに含まれない、ローカル BGP アドレスとは異なる BGP IP アドレスを入力します。
   • 帯域幅容量 (Mbps): トンネル帯域幅を指定します。 使用できるオプションは、250、500、750、1,000 Mbps です。
2. [次へ] ボタンを選択します。

リンクの追加 - [詳細] タブ

[詳細] タブでは、Global Secure Access と CPE の間の双方向通信チャネルを確立します。 IPSec/IKE ポリシーを構成し、[次へ] ボタンを選択します。

• IKEv2 が既定で選択されています。 現在サポートされている設定は IKEv2 のみです。
• IPSec/IKE ポリシーは [既定] に設定されていますが、[カスタム] にも変更できます。
• カスタム IPSec/IKE ポリシーを選ぶ場合は、最初にカスタム インターネット キー交換 (IKE) ポリシーを使ってリモート ネットワークを作成する方法に関する記事をご覧ください。
• [カスタム] を選択した場合、Global Secure Access でサポートされている設定の組み合わせを使用する必要があります。 使用できる有効な構成については、リファレンス記事「リモート ネットワークの有効な構成」を参照してください。
• [既定] と [カスタム] のどちらを選択する場合も、指定する IPSec/IKE ポリシーは CPE に入力するポリシーと一致する必要があります。

リンクの追加 - [セキュリティ] タブ

1. 事前共有キー (PSK) を入力します。 使用する秘密鍵は、CPE と同じものにする必要があります。

2. [保存] ボタンを選択します。

   

カスタム IKE ポリシーを持つリモート ネットワークは、/beta エンドポイント上の Microsoft Graph を使用して作成できます。

1. Graph エクスプローラーにサインインします。

2. ドロップダウンから HTTP メソッドとして POST を選択します。

3. API バージョンを [ベータ] に設定します。

4. 次のクエリを実行して、リモート ネットワークとその詳細の一覧を取得します。

   GET https://graph.microsoft.com/beta/networkaccess/connectivity/branches
   

5. 次のクエリを実行して、デバイス リンクの詳細を取得します。

   POST https://graph.microsoft.com/beta/networkaccess/connectivity/branches/BRANCH_ID/deviceLinks
   

応答の例:

{
   "name": "CPE2",
   "ipAddress": "100.1.1.56",
    "BandwidthCapacityInMbps": "Mbps250",
    "bgpConfiguration": {
        "LocalIpAddress": "10.1.1.28",
        "PeerIpAddress": "10.1.1.28",
        "asn": 5555
    },
    "tunnelConfiguration": {
        "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default",
        "preSharedKey": "secret.ppk"
    },
    "redundancyConfiguration": {
    "redundancyTier": "zoneRedundancy",
    "zoneLocalIpAddress": "1.1.1.12"
    },
    "deviceVendor": "citrix"
}

1. Microsoft Entra 管理センターに、Global Secure Access 管理者としてサインインします。

2. [Global Secure Access ]>[デバイス]>[リモート ネットワーク] を参照します。 リモート ネットワークの一覧の [リンク] 列にデバイス リンクが表示されます。

3. [リンク] 列からデバイス リンクを選択して、デバイス リンクの詳細ページにアクセスします。

4. 削除する必要のあるデバイス リンクの [削除] アイコンを選択します。 確認ダイアログが表示されます。 [削除] を選択して、削除を確認します。

   

1. グラフ エクスプローラーにサインインします

2. ドロップダウンから HTTP メソッドとして DELETE を選択します。

3. API バージョンを [ベータ] に設定します。

4. 次のクエリを入力します。

   DELETE https://graph.microsoft.com/beta/networkaccess/connectivity/branches/BRANCH_ID/deviceLinks/LINK_ID