Simulieren der Remotenetzwerkkonnektivität mithilfe von Azure vWAN

In diesem Artikel wird erläutert, wie Remotenetzwerkkonnektivität mithilfe eines virtuellen Breitraumnetzwerks (vWAN) simuliert wird. Informationen zum Simulieren der Remotenetzwerkkonnektivität mithilfe eines Azure virtuellen Netzwerkgateways (VNG) finden Sie unter Simulate remote network connectivity using Azure VNG.

Voraussetzungen

Um die Schritte in diesem Prozess auszuführen, benötigen Sie die folgenden Voraussetzungen:

In diesem Dokument werden die folgenden Beispielwerte zusammen mit den Werten in den Bildern und Schritten verwendet. Sie können diese Einstellungen nach Ihren eigenen Anforderungen konfigurieren.

  • Abonnement: Visual Studio Enterprise
  • Ressourcengruppenname: GlobalSecureAccess_Documentation
  • Region: USA, Süden-Mitte

Übergeordnete Schritte

Um ein Remotenetzwerk mit Azure vWAN zu erstellen, benötigen Sie Zugriff auf das Azure-Portal und die Microsoft Entra admin center. Um einfach zwischen ihnen zu wechseln, halten Sie Azure und Microsoft Entra in separaten Registerkarten geöffnet. Da die Bereitstellung bestimmter Ressourcen mehr als 30 Minuten in Anspruch nehmen kann, müssen Sie mindestens zwei Stunden für den Abschluss dieses Vorgangs einplanen. Erinnerung: Ressourcen, die weiterhin ausgeführt werden, können Geld kosten. Wenn Sie mit dem Testen oder am Ende eines Projekts fertig sind, entfernen Sie die Ressourcen, die Sie nicht mehr benötigen.

  1. Richten Sie ein vWAN im Azure-Portal ein
    1. Erstellen eines vWAN
    2. Erstellen Eines virtuellen Hubs mit einem Standort-zu-Standort-VPN-GatewayDer virtuelle Hub dauert ca. 30 Minuten, bis er bereitgestellt wird.
    3. Abrufen von VPN-Gatewayinformationen
  2. Erstellen Sie ein Remotenetzwerk im Microsoft Entra Admin Center
  3. Erstellen Sie eine VPN-Website mit dem Microsoft-Gateway
    1. Erstellen eines VPN-Standorts
    2. Erstellen Sie eine Standort-zu-Standort-VerbindungDie Standort-zu-Standort-Verbindung dauert etwa 30 Minuten, bis sie bereitgestellt werden.
    3. Überprüfen Sie die Border-Gateway-Protokoll-Konnektivität und die erlernten Routen im Microsoft Azure-Portal
    4. Überprüfung der Konnektivität in Microsoft Entra admin center
  4. Konfigurieren von Sicherheitsfeatures für Tests
    1. Erstellen eines virtuellen Netzwerks
    2. Hinzufügen einer virtuellen Netzwerkverbindung zum vWAN
    3. Create an Azure virtual DesktopDie Azure virtual Desktop dauert etwa 30 Minuten für die Bereitstellung. Die Bastion dauert weitere 30 Minuten.
  5. Test-Sicherheitsfeatures mit Azure virtual Desktop (AVD)
    1. Testen der Mandanteneinschränkung
    2. Testen der QUELL-IP-Wiederherstellung

Einrichten eines vWAN im Azure-Portal

Es gibt drei Hauptschritte zum Einrichten eines vWAN:

  1. Erstellen eines vWAN
  2. Erstellen eines virtuellen Hubs mit einem Standort-zu-Standort-VPN-Gateway
  3. Abrufen von VPN-Gatewayinformationen

Erstellen eines vWAN

Erstellen Sie einen vWAN, um eine Verbindung mit Ihren Ressourcen in Azure herzustellen. Weitere Informationen zu vWAN finden Sie in der vWAN-Übersicht.

  1. Geben Sie im Microsoft Azure-Portal in der Ressourcen-Suche vWAN im Suchfeld ein, und wählen Sie Enter aus.
  2. Wählen Sie vWANs aus den Ergebnissen aus. Wählen Sie auf der Seite "vWANs" die Option "+Erstellen " aus, um die Seite "WAN erstellen " zu öffnen.
  3. Füllen Sie auf der Seite " WAN erstellen " auf der Registerkarte " Grundlagen " die Felder aus. Ändern Sie die Beispielwerte, um sie an Ihre Umgebung anzupassen.
    • Abonnement: Wählen Sie das Abonnement aus, das Sie verwenden möchten.
    • Ressourcengruppe: Erstellen Sie eine neue oder verwenden Sie eine vorhandene.
    • Speicherort der Ressourcengruppe: Wählen Sie einen Ressourcenspeicherort aus der Dropdownliste aus. Ein WAN ist eine globale Ressource, die nicht in einer bestimmten Region angeordnet ist. Sie müssen aber eine Region auswählen, damit Sie die von Ihnen erstellte WAN-Ressource verwalten und finden können.
    • Name: Geben Sie den Namen ein, wie Sie Ihren vWAN nennen möchten.
    • Typ: Einfach oder Standard. Wählen Sie "Standard" aus. Wenn Sie „Basic“ wählen, müssen Sie wissen, dass Basic-vWANs nur Basic-Hubs enthalten können. Basic-Hubs können nur für Site-to-Site-Verbindungen verwendet werden.
  4. Nachdem Sie die Felder ausgefüllt haben, wählen Sie unten auf der Seite "Überprüfen" und "Erstellen" aus. Screenshot der Seite
  5. Nachdem die Überprüfung bestanden wurde, wählen Sie die Schaltfläche " Erstellen " aus.

Erstellen eines virtuellen Hubs mit einem VPN-Gateway

Erstellen Sie als Nächstes einen virtuellen Hub mit einem Site-to-Site-VPN-Gateway (Virtual Private Network, virtuelles privates Netzwerk):

  1. Wählen Sie im neuen vWAN unter "Konnektivität" die Option "Hubs" aus.
  2. Wählen Sie + Neuer Hub aus.
  3. Füllen Sie auf der Seite "Virtuelle Hub erstellen " auf der Registerkarte " Grundlagen " die Felder gemäß Ihrer Umgebung aus.
    • Region: Wählen Sie die Region aus, in der Sie den virtuellen Hub bereitstellen möchten.
    • Name: Geben Sie den Namen für den virtuellen Hub ein.
    • Privater Hub-Adressraum: Verwenden Sie für dieses Beispiel 10.101.0.0/24. Um einen Hub zu erstellen, muss der Adressbereich in der CIDR-Notation (Classless Inter-Domain Routing) angegeben werden und einen minimalen Adressraum von /24 aufweisen.
    • Virtuelle Hubkapazität: Wählen Sie in diesem Beispiel 2 Routinginfrastruktureinheiten, 3 GBit/s Router, unterstützt 2000 VMs. Weitere Informationen finden Sie unter "Virtuelle Hubeinstellungen".
    • Hubroutingeinstellung: Auf Standard lassen. Weitere Informationen finden Sie unter "Einstellungen für virtuelles Hub-Routing".
    • Wählen Sie "Weiter: Standort-zu-Standort" > aus. Screenshot der Seite
  4. Füllen Sie auf der Registerkarte "Website zu Website " die folgenden Felder aus:
    • Wählen Sie "Ja " aus, um ein Standort-zu-Standort-Gateway (VPN-Gateway) zu erstellen.
      • AS Number: Sie können das Feld "AS Number " nicht bearbeiten.
    • Gateway-Skalierungseinheiten: Wählen Sie in diesem Beispiel 1 Skalierungseinheit - 500 Mbps x 2. Dieser Wert muss auf den aggregierten Durchsatz des VPN-Gateways abgestimmt sein, das im virtuellen Hub erstellt wird.
    • Routingeinstellung: Wählen Sie in diesem Beispiel Microsoft Netzwerk aus, um den Datenverkehr zwischen Azure und dem Internet weiterzuleiten. Weitere Informationen zur Routingpräferenz über ein Microsoft-Netzwerk oder einen Internetdienstanbieter (Internet Service Provider, ISP) finden Sie im Artikel Routingpräferenz. Screenshot: Seite „Virtuellen Hub erstellen“ mit der Registerkarte „Site-to-Site“ und ausgefüllten Feldern
  5. Lassen Sie die verbleibenden Registerkartenoptionen auf ihren Standardeinstellungen und wählen Sie Überprüfen + Erstellen, um zu validieren.
  6. Wählen Sie "Erstellen" aus, um den Hub und das Gateway zu erstellen. Dieser Vorgang kann bis zu 30 Minuten dauern.
  7. Aktualisieren Sie nach 30 Minuten, um den Hub auf der Hubs-Seite anzuzeigen, und wählen Sie dann "Zur Ressource wechseln" aus, um zur Ressource zu wechseln.

Abrufen der VPN-Gatewayinformationen

Zum Erstellen eines Remotenetzwerks im Microsoft Entra admin center müssen Sie die VPN-Gatewayinformationen für den virtuellen Hub anzeigen und aufzeichnen, den Sie im vorherigen Schritt erstellt haben.

  1. Wählen Sie im neuen vWAN unter "Konnektivität" die Option "Hubs" aus.
  2. Wählen Sie den virtuellen Hub aus.
  3. Wählen Sie VPN (Standort zu Standort) aus.
  4. Wählen Sie auf der Seite "Virtual Hub" den Link VPN Gateway aus. Screenshot der Seite VPN (Standort zu Standort) mit dem VPN-Gateway-Link sichtbar.
  5. Wählen Sie auf der Seite VPN Gateway JSON-Ansicht aus.
  6. Kopieren Sie den JSON-Text zur Referenz in den nächsten Schritten in eine Datei. Notieren Sie sich die autonome Systemnummer (ASN), die IP-Adresse des Geräts und die Border-Gateway-Protokoll (BGP)-Adresse des Geräts zur Verwendung im Microsoft Entra Admin Center im nächsten Schritt. 
       "bgpSettings": {
        "asn": 65515,
        "peerWeight": 0,
        "bgpPeeringAddresses": [
            {
                "ipconfigurationId": "Instance0",
                "defaultBgpIpAddresses": [
                    "10.101.0.12"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.250",
                    "10.101.0.4"
                ]
            },
            {
                "ipconfigurationId": "Instance1",
                "defaultBgpIpAddresses": [
                    "10.101.0.13"
                ],
                "customBgpIpAddresses": [],
                "tunnelIpAddresses": [
                    "203.0.113.251",
                    "10.101.0.5"
                ]
            }
        ]
    }

Tipp

Der ASN-Wert kann nicht geändert werden.

Erstellen eines Remotenetzwerks im Microsoft Entra admin center

Verwenden Sie in diesem Schritt die Netzwerkinformationen vom VPN-Gateway, um ein Remotenetzwerk im Microsoft Entra admin center zu erstellen. Der erste Schritt besteht darin, den Namen und den Standort Ihres Remotenetzwerks anzugeben.

  1. Melden Sie sich bei der Microsoft Entra admin center mindestens als Security Administrator an.
  2. Navigieren Sie zu Globaler sicherer Zugriff>Verbinden>Remotenetzwerke.
  3. Wählen Sie die Schaltfläche "Remotenetzwerk erstellen " aus, und geben Sie die Details an.
    • Name: Verwenden Sie in diesem Beispiel Azure_vWAN.
    • Region: Wählen Sie in diesem Beispiel " South Central US" aus.
  4. Wählen Sie "Weiter" aus: "Konnektivität ", um zur Registerkarte " Konnektivität " zu wechseln. Screenshot der Seite
  5. Fügen Sie auf der Registerkarte "Konnektivität " Gerätelinks für das Remotenetzwerk hinzu. Erstellen Sie einen Link für die Instanz des VPN-Gateways und einen anderen Link für die Instanz des VPN-Gateways:
    1. Wählen Sie +Link hinzufügen aus.
    2. Füllen Sie die Felder auf der Registerkarte " Allgemein " im Formular "Link hinzufügen " mithilfe der Instanz0-Konfiguration des VPN-Gateways aus der JSON-Ansicht aus:

      • Verknüpfungsname: Name Ihres Customer Premises Equipment (CPE). In diesem Beispiel instanz0.

      • Gerätetyp: Wählen Sie eine Geräteoption aus der Dropdownliste aus. Auf "Andere" festgelegt.

      • Geräte-IP-Adresse: Öffentliche IP-Adresse Ihres Geräts. Verwenden Sie in diesem Beispiel 203.0.113.250.

      • Geräte-BGP-Adresse: Geben Sie die BGP-IP-Adresse (Border Gateway Protocol) Ihres CPE ein. Verwenden Sie in diesem Beispiel 10.101.0.4.

      • Device ASN: Stellen Sie die autonome Systemnummer (ASN) des CPE bereit. In diesem Beispiel ist der ASN 65515.

      • Redundanz: Auf "Keine Redundanz" festgelegt.

      • Redundante lokale BGP-Adresse der Zone: Dieses optionale Feld wird nur angezeigt, wenn Sie Zonenredundanz auswählen.

        • Geben Sie eine BGP-IP-Adresse ein, die nicht Teil Ihres lokalen Netzwerks ist , in dem sich Ihr CPE befindet und sich von der lokalen BGP-Adresse unterscheidet.

      • Bandbreitenkapazität (Mbps): Geben Sie die Tunnelbandbreite an. Legen Sie in diesem Beispiel auf 250 MBit/s fest.

      • Lokale BGP-Adresse: Verwenden Sie eine BGP-IP-Adresse, die nicht Teil Ihres lokalen Netzwerks ist , in dem sich Ihr CPE befindet, z. B. 192.168.10.10.

        Screenshot des Formulars

    3. Wählen Sie die Schaltfläche "Weiter " aus, um die Registerkarte "Details " anzuzeigen. Behalten Sie die Standardeinstellungen bei.
    4. Wählen Sie die Schaltfläche "Weiter " aus, um die Registerkarte "Sicherheit " anzuzeigen.
    5. Geben Sie den Preshared-Schlüssel (PSK) ein. Derselbe geheime Schlüssel muss auf Ihrer CPE verwendet werden.
    6. Wählen Sie die Schaltfläche " Speichern" aus .

Weitere Informationen zu Links finden Sie im Artikel zum Verwalten von Remotenetzwerkgeräteverbindungen.

  1. Wiederholen Sie die obigen Schritte, um eine zweite Geräteverbindung mithilfe der Instanz1-Konfiguration des VPN-Gateways zu erstellen.
    1. Wählen Sie +Link hinzufügen aus.
    2. Füllen Sie die Felder auf der Registerkarte " Allgemein " im Formular "Link hinzufügen " mithilfe der Instanz1-Konfiguration des VPN-Gateways aus der JSON-Ansicht aus:
      • Linkname: Instanz1
      • Gerätetyp: Andere
      • Ip-Adresse des Geräts: 203.0.113.251
      • Geräte-BGP-Adresse: 10.101.0.5
      • Gerät ASN: 65515
      • Redundanz: Keine Redundanz
      • Bandbreitenkapazität (Mbps): 250 MBit/s
      • Lokale BGP-Adresse: 192.168.10.11
    3. Wählen Sie die Schaltfläche "Weiter " aus, um die Registerkarte "Details " anzuzeigen. Behalten Sie die Standardeinstellungen bei.
    4. Wählen Sie die Schaltfläche "Weiter " aus, um die Registerkarte "Sicherheit " anzuzeigen.
    5. Geben Sie den Preshared-Schlüssel (PSK) ein. Derselbe geheime Schlüssel muss auf Ihrer CPE verwendet werden.
    6. Wählen Sie die Schaltfläche " Speichern" aus .
  2. Fahren Sie mit der Registerkarte "Datenverkehrsprofile " fort, um das Datenverkehrsprofil auszuwählen, das mit dem Remotenetzwerk verknüpft werden soll.
  3. Wählen Sie Microsoft 365 Datenverkehrsprofil aus.
  4. Wählen Sie "Überprüfen" und "Erstellen" aus.
  5. Wählen Sie "Remotenetzwerk erstellen" aus.

Navigieren Sie zur Seite „Remotenetzwerk“, um die Details des neuen Remotenetzwerks anzuzeigen. Es sollte eine Region und zwei Verknüpfungen geben.

  1. Wählen Sie unter Verbindungsdetails den Link "Konfigurationsansicht" aus. Screenshot der Seite
  2. Kopieren Sie den Text der Remotenetzwerkkonfiguration zur Referenz in den nächsten Schritten in eine Datei. Notieren Sie sich die Endpunkt-, ASN- und BGP-Adresse für jeden der Links (Instanz0 und Instanz1). 
       {
  "id": "68d2fab0-0efd-48af-bb17-d793f8ec8bd8",
  "displayName": "Instance0",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.32",
      "asn": 65476,
      "bgpAddress": "192.168.10.10",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.250",
    "asn": 65515,
    "bgpAddress": "10.101.0.4"
  }
},
{
  "id": "26500385-b1fe-4a1c-a546-39e2d0faa31f",
  "displayName": "Instance1",
  "localConfigurations": [
    {
      "endpoint": "203.0.113.34",
      "asn": 65476,
      "bgpAddress": "192.168.10.11",
      "region": "southCentralUS"
    }
  ],
  "peerConfiguration": {
    "endpoint": "203.0.113.251",
    "asn": 65515,
    "bgpAddress": "10.101.0.5"
  }
}

Erstellen eines VPN-Standorts mithilfe des Microsoft-Gateways

In diesem Schritt erstellen Sie einen VPN-Standort, ordnen den VPN-Standort dem Hub zu und überprüfen dann die Verbindung.

Erstellen eines VPN-Standorts

  1. Melden Sie sich im Microsoft Azure portal beim virtuellen Hub an, der in den vorherigen Schritten erstellt wurde.
  2. Navigieren Sie zu Connectivity>VPN (Standort zu Standort).
  3. Wählen Sie +Neuen VPN-Standort erstellen.
  4. Füllen Sie auf der Seite " VPN-Website erstellen " die Felder auf der Registerkarte " Grundlagen " aus.
  5. Fahren Sie mit der Registerkarte Links fort. Geben Sie für jeden Link die Microsoft Gatewaykonfiguration aus der Remotenetzwerkkonfiguration ein, die im Schritt "Details anzeigen" angegeben ist:
    • Linkname: In diesem Beispiel instanz0; Instanz1.
    • Linkgeschwindigkeit: Für dieses Beispiel 250 für beide Links.
    • Linkanbietername: Für beide Links auf "Other " festgelegt.
    • Link-IP-Adresse /FQDN: Verwenden Sie die Endpunktadresse. In diesem Beispiel 203.0.113.32; 203.0.113.34.
    • Link BGP-Adresse: Verwenden Sie die BGP-Adresse , 192.168.10.10; 192.168.10.11.
    • Link ASN: Verwenden Sie das ASN. In diesem Beispiel 65476 für beide Links. Screenshot der Seite
  6. Wählen Sie "Überprüfen" und "Erstellen" aus.
  7. Wählen Sie "Erstellen" aus.

Herstellen einer Site-to-Site-Verbindung

Ordnen Sie in diesem Schritt den VPN-Standort aus dem vorherigen Schritt dem Hub zu. Entfernen Sie als Nächstes die Standardhubzuordnung:

  1. Navigieren Sie zu Connectivity>VPN (Standort zu Standort).
  2. Wählen Sie das X aus, um die Standardmäßige Hubzuordnung zu entfernen: Mit diesem Hubfilter verbunden , sodass die VPN-Website in der Liste der verfügbaren VPN-Websites angezeigt wird. Screenshot der Seite
  3. Wählen Sie in der Liste den VPN-Standort und dann "VPN-Standorte verbinden" aus.
  4. Geben Sie im Formular zum Verbinden von Standorten denselben vorinstallierten Schlüssel ein, den Sie für das Microsoft Entra Admin Center verwendet haben.
  5. Wählen Sie "Verbinden" aus.
  6. Nach ca. 30 Minuten aktualisiert die VPN-Website, um Erfolgssymbole sowohl für den Verbindungsbereitstellungsstatus als auch für den Verbindungsstatus anzuzeigen. Screenshot: Seite „VPN (Site-to-Site) mit Status „Erfolgreich“ für die Verbindungsbereitstellung und Verbindung

Überprüfen der BGP-Konnektivität und der gelernten Routen in Microsoft Azure portal

Verwenden Sie in diesem Schritt das BGP-Dashboard, um die Liste der erlernten Routen zu überprüfen, die das Site-to-Site-Gateway lernt.

  1. Navigieren Sie zu Connectivity>VPN (Standort zu Standort).

  2. Wählen Sie den VPN-Standort aus, der in den vorherigen Schritten erstellt wurde.

  3. Wählen Sie BGP-Dashboard aus.

    Das BGP-Dashboard listet die BGP-Peers (VPN-Gateways und VPN-Standort) auf, die über den Status " Verbunden" verfügen sollten.

  4. Um die Liste der erlernten Routen anzuzeigen, wählen Sie Routen, die vom Site-to-Site-Gateway gelernt werden.

Die Liste Erlernte Routen zeigt, dass das Site-to-Site-Gateway die im Microsoft 365-Datenverkehrsprofil aufgeführten Microsoft 365-Routen lernt. Screenshot der Seite

Die folgende Abbildung zeigt das Datenverkehrsprofil Richtlinien®eln für das Microsoft 365-Profil, das mit den vom Site-to-Site-Gateway erlernten Routen übereinstimmen sollte. Screenshot des Microsoft 365 Traffic Forwarding-Profils, die die übereinstimmenden gelernten Routen anzeigen.

Überprüfen der Konnektivität in Microsoft Entra admin center

Zeigen Sie die Gesundheitsprotokolle des Remotenetzwerks an, um die Konnektivität im Microsoft Entra Admin Center zu validieren.

  1. Navigieren Sie im Microsoft Entra Admin Center zu Globaler sicherer Zugriff>Überwachen>Protokolle über den Zustand des Remotenetzwerks.
  2. Wählen Sie "Filter hinzufügen" aus.
  3. Wählen Sie "Quell-IP " aus, und geben Sie die Quell-IP-Adresse für die Instanz0 oder Instanz1 des VPN-Gateways ein. Wählen Sie Übernehmen.
  4. Für die Konnektivität sollte Remotenetzwerk aktiv angegeben sein.

Sie können auch überprüfen, indem Sie nach tunnelConnected oder BGPConnected filtern. Weitere Informationen finden Sie unter Was sind Remotenetzwerk-Integritätsprotokolle?.

Konfigurieren von Sicherheitsfeatures zum Testen

In diesem Schritt bereiten wir uns auf Tests vor, indem wir ein virtuelles Netzwerk konfigurieren, eine virtuelle Netzwerkverbindung zum vWAN hinzufügen und eine Azure Virtual Desktop erstellen.

Erstellen eines virtuellen Netzwerks

Verwenden Sie in diesem Schritt das Azure Portal, um ein virtuelles Netzwerk zu erstellen.

  1. Suchen Sie im Azure-Portal nach Virtual networks.

  2. Wählen Sie auf der Seite "Virtuelle Netzwerke " +Erstellen aus.

  3. Schließen Sie die Registerkarte "Grundlagen" ab, einschließlich des Abonnements, der Ressourcengruppe, des Namens des virtuellen Netzwerks und der Region.

  4. Wählen Sie "Weiter" aus, um zur Registerkarte " Sicherheit " zu wechseln.

  5. Wählen Sie im Abschnitt Azure BastionEnable Bastion aus.

    • Geben Sie den Hostnamen Azure Bastion ein. Verwenden Sie in diesem Beispiel Virtual_network_01 Bastion.
    • Wählen Sie die Azure Bastion öffentliche IP-Adresse aus. Wählen Sie in diesem Beispiel die Standardeinstellung (Neu) aus. Screenshot des Bildschirms

  6. Wählen Sie "Weiter" aus, um zur Registerkarte "IP-Adressen" zu wechseln. Konfigurieren Sie den Adressraum des virtuellen Netzwerks mit einem oder mehreren IPv4- oder IPv6-Adressbereichen.

    Tipp

    Verwenden Sie keinen überlappenden Adressraum. Wenn beispielsweise der in den vorherigen Schritten erstellte virtuelle Hub den Adressraum 10.0.0.0/16 verwendet, erstellen Sie dieses virtuelle Netzwerk mit dem Adressraum 10.2.0.0/16.

  7. Wählen Sie "Überprüfen" und "Erstellen" aus. Wenn die Überprüfung erfolgreich ist, wählen Sie "Erstellen" aus.

Fügen Sie eine virtuelle Netzwerkverbindung zum vWAN hinzu

In diesem Schritt verbinden Sie das virtuelle Netzwerk mit dem vWAN.

  1. Öffnen Sie die vWAN, die in den vorherigen Schritten erstellt wurde, und navigieren Sie zu Connectivity>Virtual Network Connections.
  2. Wählen Sie +Verbindung hinzufügen aus.
  3. Füllen Sie das Formular "Verbindung hinzufügen " aus, und wählen Sie die Werte aus dem virtuellen Hub und dem virtuellen Netzwerk aus, die in den vorherigen Abschnitten erstellt wurden:
    • Verbindungsname: VirtualNetwork
    • Hubs: Hub1
    • Subscription: Contoso Azure-Abonnement
    • Ressourcengruppe: GlobalSecureAccess_Documentation
    • Virtuelles Netzwerk: VirtualNetwork
  4. Lassen Sie die verbleibenden Felder auf ihre Standardwerte festgelegt, und wählen Sie "Erstellen" aus. Screenshot des Formulars

Erstellen einer Azure Virtual Desktop

In diesem Schritt erstellen Sie einen virtuellen Desktop und hosten ihn mit Bastion.

  1. Suchen Sie im Azure-Portal nach Azure Virtual Desktop.
  2. Wählen Sie auf der Seite Azure Virtual DesktopHostpool erstellen aus.
  3. Füllen Sie die Registerkarte " Grundlagen" mit den folgenden Schritten aus:
    • Der Name des Hostpools. In diesem Beispiel VirtualDesktops.
    • Die Location des Azure Virtual Desktop-Objekts. In diesem Fall, South Central US.
    • Bevorzugter App-Gruppentyp: Wählen Sie "Desktop" aus.
    • Hostpooltyp: Wählen Sie "Pooled" aus.
    • Lastenausgleichsalgorithmus: Wählen Sie "Breadth-first" aus.
    • Maximaler Sitzungsgrenzwert: Wählen Sie "2" aus.
  4. Wählen Sie Next: Virtual Machines aus.
  5. Schließen Sie die Registerkarte Next: Virtual Machines mit den folgenden Schritten ab:
    • Hinzufügen virtueller Computer: Ja
    • Die gewünschte Ressourcengruppe. In diesem Beispiel GlobalSecureAccess_Documentation.
    • Namenspräfix: avd
    • Virtual machine type: Select Azure virtual machine.
    • Standort des virtuellen Computers: South Central US.
    • Verfügbarkeitsoptionen: Wählen Sie "Keine Infrastrukturredundanz erforderlich" aus.
    • Sicherheitstyp: Wählen Sie den virtuellen Computer für den vertrauenswürdigen Start aus.
    • Sicherer Start aktivieren: Ja
    • Aktivieren von vTPM: Ja
    • Image: Wählen Sie in diesem Beispiel Windows 11 Enterprise multi-session + Microsoft 365 Apps Version 22H2 aus.
    • Größe virtueller Computer: Wählen Sie standard D2s v3, 2 vCPUs, 8-GB Arbeitsspeicher aus.
    • Anzahl der virtuellen Computer: 1
    • Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk aus, das im vorherigen Schritt erstellt wurde , VirtualNetwork.
    • Domäne zum Beitreten: Wählen Sie Microsoft Entra ID aus.
    • Geben Sie die Anmeldeinformationen des Administratorkontos ein.
  6. Lassen Sie andere Optionen standardmäßig, und wählen Sie "Überprüfen+ erstellen" aus.
  7. Wenn die Überprüfung erfolgreich ist, wählen Sie "Erstellen" aus.
  8. Nach ca. 30 Minuten wird der Hostpool aktualisiert, um anzuzeigen, dass die Bereitstellung abgeschlossen ist.
  9. Navigieren Sie zu Microsoft Azure Home, und wählen Sie Virtual machines aus.
  10. Wählen Sie die in den vorherigen Schritten erstellte VM aus.
  11. Wählen Sie Connect>über Bastion verbinden.
  12. Wählen Sie "Bastion bereitstellen" aus. Die Bereitstellung des Bastionhosts im System dauert etwa 30 Minuten.
  13. Geben Sie nach der Bereitstellung der Bastion die gleichen Administratoranmeldeinformationen ein, die zum Erstellen der Azure Virtual Desktop verwendet werden.
  14. Wählen Sie "Verbinden" aus. Der virtuelle Desktop wird gestartet.

Testen von Sicherheitsfeatures mit Azure Virtual Desktop (AVD)

In diesem Schritt verwenden Sie AVD, um Zugriffsbeschränkungen für das virtuelle Netzwerk zu testen.

Vermeiden eines asymmetrischen Routings beim Herstellen einer Verbindung mit virtuellen Computern in Remotenetzwerken

Wenn Sie einen Azure virtuellen Computer (VM) mit einem Remotenetzwerk für globalen sicheren Zugriff verbinden, können Sie Remote Desktop Protocol (RDP as-is) nicht verwenden, um eine Verbindung mit dem virtuellen Computer mithilfe der öffentlichen IP-Adresse herzustellen. Wenn Sie das Remotenetzwerk trennen, funktioniert RDP wieder. Asymmetrisches Routing verursacht dieses Verhalten und wird erwartet.

Dies ist der Grund dafür: Der virtuelle Computer verfügt über eine öffentliche IP-Adresse, sodass eingehender RDP-Datenverkehr (das SYN-Paket) von Ihrem PC die VM direkt erreicht. Da Global Secure Access jedoch den gesamten Internetadressbereich umfasst, wird der Rückverkehr der VM (das SYN-ACK) über den IPsec-Tunnel zu Global Secure Access geleitet. Global Secure Access empfängt eine SYN-ACK für eine Sitzung ohne entsprechendes SYN, sodass das Paket verworfen wird und die Verbindung fehlschlägt. Diese Bedingung macht die öffentliche IP-Adresse des virtuellen Computers für eingehende Verbindungen unbrauchbar.

Problemumgehungen

Um asymmetrische Routingprobleme mit Remotenetzwerken zu vermeiden, verwenden Sie eine der folgenden Problemumgehungen:

  • Verwenden von Azure Bastion

    Azure Bastion beseitigt asymmetrisches Routing für Remoteverwaltungsszenarien wie RDP. Mithilfe von Bastion stellt Ihr PC eine Verbindung mit dem Bastion-Dienst über HTTPS her, und Bastion initiiert die RDP-Sitzung mit der VM mithilfe seiner privaten IP-Adresse. Der virtuelle Computer antwortet direkt auf Bastion innerhalb des virtuellen Netzwerks. Da beide Richtungen der Verbindung innerhalb des virtuellen Netzwerks verbleiben, wird der Datenverkehr nie über das Gateway für den globalen sicheren Zugriff weitergeleitet, und routing bleibt symmetrisch.

  • Verwenden Sie das P2S-VPN (Point-to-Site) mit Ihrem VNG

    Wenn Sie ein virtuelles Netzwerkgateway (VNG) für point-to-Site(P2S)-Konnektivität konfigurieren, empfängt Ihr Clientgerät eine private IP-Adresse aus dem VNG-Adresspool mithilfe des Azure VPN-Clients. Der gesamte Datenverkehr zur virtuellen Maschine fließt über den VNG-Tunnel und kehrt auf dem gleichen Weg zurück, wodurch das Routing symmetrisch bleibt.

Testen der Mandanteneinschränkung

Aktivieren Sie vor dem Testen Mandanteneinschränkungen für das virtuelle Netzwerk.

  1. Navigieren Sie in Microsoft Entra admin center zu Global Secure Access>Settings>Session management.
  2. Legen Sie den Umschalter Tagging aktivieren, um Mandanteneinschränkungen in Ihrem Netzwerk zu erzwingen auf „Ein“ fest.
  3. Wählen Sie "Speichern" aus.
  4. Sie können die Mandantenübergreifende Zugriffsrichtlinie ändern, indem Sie zu Entra ID>External Identities>Cross-tenant access settings navigieren. Weitere Informationen finden Sie im Artikel " Übersicht über den mandantenübergreifenden Zugriff.
  5. Behalten Sie die Standardeinstellungen bei. Diese verhindern, dass sich Benutzer mit externen Konten auf verwalteten Geräten anmelden.

Zum Testen:

  1. Melden Sie sich bei der Azure Virtual Desktop virtuellen Maschine an, die in den vorherigen Schritten erstellt wurde.
  2. Wechseln Sie zu www.office.com , und melden Sie sich mit einer internen Organisations-ID an. Dieser Test sollte erfolgreich bestanden werden.
  3. Wiederholen Sie den vorherigen Schritt, aber mit einem externen Konto. Dieser Test sollte aufgrund des blockierten Zugriffs fehlschlagen.
    Screenshot der Nachricht

Testen der Wiederherstellung der Quell-IP-Adresse

Aktivieren Sie vor dem Testen den bedingten Zugriff.

  1. Navigieren Sie in Microsoft Entra admin center zu Global Secure Access>Settings>Session management.
  2. Wählen Sie die Registerkarte "Adaptiver Zugriff " aus.
  3. Stellen Sie den Schalter "Globale Signalisierung für sicheren Zugriff aktivieren" unter „Bedingter Zugriff“ auf "Ein".
  4. Wählen Sie "Speichern" aus. Weitere Informationen finden Sie im Artikel zur Quell-IP-Wiederherstellung.

Zum Testen (Option 1): Wiederholen Sie den Test der Mandanteneinschränkungen aus dem vorherigen Abschnitt:

  1. Melden Sie sich bei der Azure Virtual Desktop virtuellen Maschine an, die in den vorherigen Schritten erstellt wurde.
  2. Wechseln Sie zu www.office.com , und melden Sie sich mit einer internen Organisations-ID an. Dieser Test sollte erfolgreich bestanden werden.
  3. Wiederholen Sie den vorherigen Schritt, aber mit einem externen Konto. Dieser Test sollte fehlschlagen, da die Quell-IP-Adresse in der Fehlermeldung von der öffentlichen IP-Adresse des VPN-Gateways stammt, anstatt dass Microsoft SSE die Anforderung an Microsoft Entra weiterleitet.
    Screenshot der Nachricht

Zum Testen (Option 2):

  1. Navigieren Sie im Microsoft Entra Admin Center zu Globaler sicherer Zugriff>Überwachen>Protokolle über den Zustand des Remotenetzwerks.
  2. Wählen Sie "Filter hinzufügen" aus.
  3. Wählen Sie "Quell-IP" aus, und geben Sie die öffentliche IP-Adresse des VPN-Gateways ein. Wählen Sie Übernehmen. Screenshot: Seite „Remotenetzwerk-Integritätsprotokolle“, auf der das Menü „Filter hinzufügen“ zur Eingabe der Quell-IP-Adresse geöffnet ist

Das System stellt die CPE-IP-Adresse (Customer Premises Equipment, lokale Kundengeräte) der Filiale wieder her. Da das VPN-Gateway die CPE darstellt, zeigen die Integritätsprotokolle die öffentliche IP-Adresse des VPN-Gateways und nicht die IP-Adresse des Proxys an.

Entfernen nicht benötigter Ressourcen

Nach Tests oder nach Abschluss eines Projekts ist es ratsam, die nicht mehr benötigten Ressourcen zu entfernen. Ressourcen, die weiterhin ausgeführt werden, können Sie Geld kosten. Sie können einzelne Ressourcen oder die gesamte Ressourcengruppe mit allen darin enthaltenen Ressourcen löschen.

Verwandte Inhalte

  • Last updated on