Erstellen eines Fernnetzwerks mit Global Secure Access

Entfernte Netzwerke sind entfernte Standorte, wie z. B. eine Zweigstelle, oder Netzwerke, die eine Internetverbindung erfordern. Durch das Einrichten von Remotenetzwerken werden Ihre Benutzer an Remotestandorten mit „globaler sicherer Zugriff“ verbunden. Nachdem Sie ein Remotenetzwerk konfiguriert haben, können Sie ein Datenverkehrsweiterleitungsprofil zuweisen, um ihren Unternehmensnetzwerkdatenverkehr zu verwalten. Global Secure Access bietet Remotenetzwerkkonnektivität, sodass Sie Netzwerksicherheitsrichtlinien auf Ihren ausgehenden Datenverkehr anwenden können.

Sie können Remotenetzwerke auf verschiedene Arten mit dem globalen sicheren Zugriff verbinden. Kurz zusammengefasst erstellen Sie einen IPSec-Tunnel (Internet Protocol Security) zwischen einem Kernrouter, der als CPE (Customer Premise Equipment) bezeichnet wird, in Ihrem Remotenetzwerk und am nächstgelegenen Global Secure Access-Endpunkt. Der gesamte internetgebundene Datenverkehr wird durch den Kernrouter des entfernten Netzwerks zur Überprüfung der Sicherheitsrichtlinien in der Cloud geleitet. Sie müssen den Client nicht auf einzelnen Geräten installieren.

In diesem Artikel wird erläutert, wie Sie ein Remotenetzwerk für „globaler sicherer Zugriff“ erstellen.

Voraussetzungen

Zum Konfigurieren von Remotenetzwerken ist Folgendes erforderlich:

Eine Rolle als Global Secure Access Administrator in Microsoft Entra ID.
Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
CPE-Geräte (Customer Premises Equipment) müssen die folgenden Protokolle unterstützen:
- Internetprotokollsicherheit (Internet Protocol Security, IPsec)
- GCMEAES128, GCMAES 192 oder GCMAES256 Algorithmen für Internet Key Exchange (IKE) Phase 2-Aushandlung
- Internet Key Exchange Version 2 (IKEv2)
- Border Gateway-Protokoll (BGP)
Überprüfen Sie die gültigen Konfigurationen zum Einrichten von Remotenetzwerken.
Die Remotenetzwerkkonnektivitätslösung verwendet RouteBased VPN-Konfiguration mit beliebigen Datenverkehrsmarkierern (Wildcard oder 0.0.0.0/0). Stellen Sie sicher, dass Ihre CPE über den richtigen Datenverkehrsauswahlsatz verfügt.
Die Remote-Netzwerkverbindungslösung verwendet Responder-Modi. Ihr CPE muss die Verbindung initiieren.

Bekannte Einschränkungen

Ausführliche Informationen zu bekannten Problemen und Einschränkungen finden Sie unter "Bekannte Einschränkungen für den globalen sicheren Zugriff".

Übergeordnete Schritte

Sie können ein Remotenetzwerk im Microsoft Entra admin center oder über die Microsoft Graph API erstellen.

Im Allgemeinen gibt es fünf Schritte zum Erstellen eines Remotenetzwerks und zum Konfigurieren eines aktiven IPsec-Tunnels:

Grundlegendes: Geben Sie die grundlegenden Details wie Name und Region Ihres Remotenetzwerks ein. Region gibt an, wo Ihr Ende des IPsec-Tunnels liegen soll. Das andere Ende des Tunnels ist Ihr Router oder CPE-Gerät.
Konnektivität: Fügen Sie dem Remotenetzwerk eine Geräteverbindung (oder einen IPsec-Tunnel) hinzu. In diesem Schritt geben Sie die Details Ihres Routers im Microsoft Entra Admin Center ein, das Microsoft darüber informiert, von wo aus IKE-Verhandlungen erwartet werden sollen.
Datenverkehrsweiterleitungsprofil: Ordnen Sie dem Remotenetzwerk ein Datenverkehrsweiterleitungsprofil zu, das angibt, welcher Datenverkehr über den IPsec-Tunnel erfasst werden soll. Der globale sichere Zugriff verwendet dynamisches Routing über BGP.
Anzeigen der CPE-Konnektivitätskonfiguration: Abrufen der IPsec-Tunneldetails an Microsofts Tunnelende. Im Schritt Connectivity haben Sie die Details Ihres Routers für Microsoft bereitgestellt. In diesem Schritt rufen Sie Microsofts Seite der Konnektivitätskonfiguration ab.
Richten Sie Ihr CPE ein: Nehmen Sie die Konnektivitätskonfiguration von Microsoft aus dem vorherigen Schritt und geben Sie sie in die Verwaltungskonsole Ihres Routers oder CPE ein. Dieser Schritt ist nicht im Microsoft Entra Admin Center.

Microsoft Entra admin center
Microsoft Graph API

Sie konfigurieren Remotenetzwerke auf drei Registerkarten. Füllen Sie die einzelnen Registerkarten in der angegebenen Reihenfolge aus. Nachdem Sie die einzelnen Registerkarten ausgefüllt haben, wählen Sie entweder oben auf der Seite die nächste Registerkarte oder unten auf der Seite die Schaltfläche Weiter.

Grundlagen

Geben Sie auf der Registerkarte "Grundlagen" den Namen und den Standort Ihres Remotenetzwerks ein. Sie müssen diese Registerkarte ausfüllen.

Melden Sie sich beim Microsoft Entra admin center als Global Secure Access Administrator an.
Navigieren Sie zu Globaler sicherer Zugriff>Verbinden>Remotenetzwerke.
Wählen Sie "Remotenetzwerk erstellen" aus, und geben Sie die Details ein.
- Name
- Region

Screenshot: Registerkarte „Grundlagen“ im Vorgang zum Erstellen einer Geräteverbindung

Konnektivität

Fügen Sie die Gerätelinks für das Remotenetzwerk auf der Registerkarte "Konnektivität " hinzu. Sie können Nach dem Erstellen des Remotenetzwerks Gerätelinks hinzufügen. Geben Sie für jede Geräteverbindung den Gerätetyp, die öffentliche IP-Adresse Ihres CPE, die BGP-Adresse (Border Gateway Protocol) und die autonome Systemnummer (ASN) ein.

Zum Abschließen der Registerkarte Konnektivität sind unter Umständen komplexe Details erforderlich. Weitere Informationen finden Sie unter Verwalten von Remotenetzwerk-Geräteverbindungen.

Datenverkehrsweiterleitungsprofile

Sie können das Remotenetzwerk einem Profil für die Datenverkehrsweiterleitung zuweisen, wenn Sie das Remotenetzwerk erstellen. Sie können das Remotenetzwerk auch zu einem späteren Zeitpunkt zuweisen. Weitere Informationen finden Sie unter Profile für die Datenverkehrsweiterleitung.

Wählen Sie entweder die Schaltfläche Weiter oder die Registerkarte Verkehrsprofile aus.
Wählen Sie das entsprechende Profil für die Datenverkehrsweiterleitung aus.
Wählen Sie die Schaltfläche " Überprüfen+ Erstellen" aus .

Durchsetzung von Datenverkehrsprofilen bei Verbindungen zu entfernten Netzwerkgeräten

Der globale sichere Zugriff erzwingt Datenverkehrsweiterleitungsprofile für alle Geräteverbindungen, z. B. IPsec-Tunnel, die einem Remotenetzwerk zugeordnet sind. Es leitet nur Datenverkehrstypen weiter, die einem aktivierten und zugeordneten Datenverkehrsweiterleitungsprofil entsprechen. Das globale Gateway für den sicheren Zugriff legt den gesamten anderen Datenverkehr ab.

Diese Durchsetzung bedeutet:

Wenn Sie nur das Microsoft-Datenverkehrsprofil einem Remotenetzwerk zuordnen, legt das Global Secure Access-Gateway alle nicht-Microsoft-Datenverkehr (z. B. allgemeiner Internetdatenverkehr) ab, der über die Geräteverbindung gesendet wird.
Wenn Sie nur das Internet Access-Datenverkehrsprofil einem Remotenetzwerk zuordnen, verwirft das Gateway für den globalen sicheren Zugriff den gesamten Microsoft-Datenverkehr, der über die Geräteverbindung gesendet wird.

Von Bedeutung

Um unbeabsichtigten Datenverkehrsverlust zu vermeiden, ordnen Sie sowohl das Microsoft-Datenverkehrsprofil als auch das Internet-Access-Datenverkehrsprofil Ihrem Remotenetzwerk zu, wenn Ihre Lizenz dies zulässt. Diese Konfiguration stellt sicher, dass das entsprechende Profil den gesamten Datenverkehr verarbeitet, der über den IPsec-Tunnel weitergeleitet wird, anstatt ihn im Hintergrund am Gateway abzuziehen.

Ausführliche Informationen zu verfügbaren Datenverkehrsweiterleitungsprofilen und deren Konfiguration finden Sie unter Global Secure Access Traffic Forwarding Profile.

Auf der letzten Registerkarte im Prozess können Sie alle von Ihnen bereitgestellten Einstellungen überprüfen. Sehen Sie sich die hier bereitgestellten Details an, und wählen Sie die Schaltfläche Remotenetzwerk erstellen aus.

Anzeigen der CPE-Konnektivitätskonfiguration

Alle Remotenetzwerke werden auf der Remotenetzwerkseite angezeigt. Wählen Sie den Link Konfigurationsansicht in der Spalte Verbindungsdetails aus, um die Konfigurationsdetails anzuzeigen.

Diese Details enthalten die Konnektivitätsinformationen von der Microsoft-Seite des bidirektionalen Kommunikationskanals, den Sie zum Einrichten Ihres CPE verwenden.

Dieser Prozess wird ausführlich unter Konfigurieren Ihrer lokalen Kundengeräte behandelt.

Einrichten Ihres CPE-Geräts

Sie führen diesen Schritt in der Verwaltungskonsole Ihres CPE aus, nicht in Microsoft Entra admin center. Bis Sie diesen Schritt abgeschlossen haben, wird Ihr IPsec nicht eingerichtet. Bei IPsec handelt es sich um bidirektionale Kommunikation. IKE-Verhandlungen finden zwischen zwei Parteien statt, bevor der Tunnel erfolgreich hergestellt wird. Überspringen Sie diesen Schritt nicht.

Tipp

Anleitungen zur Verbesserung der Resilienz von Remotenetzwerken finden Sie unter Bewährte Methoden für die Ausfallsicherheit von Remotenetzwerken für globalen sicheren Zugriff.

Sie können Microsoft Graph auf dem endpunkt /beta verwenden, um Remotenetzwerke für globalen sicheren Zugriff anzuzeigen und zu verwalten. Das Erstellen eines Remotenetzwerks und das Zuweisen eines Profils für die Datenverkehrsweiterleitung sind separate API-Aufrufe.

Melden Sie sich bei Graph Explorer an.
Wählen Sie POST als HTTP-Methode aus.
Wählen Sie BETA als API-Version aus.

Abfrage ausführen.

POST https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks
Content-Type: application/json

{
    "name": "Bellevue branch w/ device link",
    "region": "canadaEast",
    "forwardingProfiles": [
        {
            "id": "1adaf535-1e31-4e14-983f-2270408162bf"
        }
    ],
    "deviceLinks": [
        {
            "name": "CPE1",
            "ipAddress": "52.13.21.25",
            "bandwidthCapacityInMbps": "mbps500",
            "deviceVendor": "barracudaNetworks",
            "bgpConfiguration": {
                "localIpAddress": "192.168.1.2",
                "peerIpAddress": "10.1.1.2",
                "asn": 65533
            },
            "redundancyConfiguration": {
                "zoneLocalIpAddress": null,
                "redundancyTier": "noRedundancy"
            },
            "tunnelConfiguration": {
                "@odata.type": "#microsoft.graph.networkaccess.tunnelConfigurationIKEv2Default",
                "preSharedKey": "test123"
            }
        }
    ]
}

Zuweisen eines Profils für die Datenverkehrsweiterleitung

Das Zuordnen eines Datenverkehrsweiterleitungsprofils zu Ihrem Remotenetzwerk mithilfe des Microsoft-Graph API ist ein zweistufiger Prozess. Suchen Sie zunächst die ID des Traffic-Profils. Die ID ist für alle Mandanten unterschiedlich. Ordnen Sie anschließend das Profil für die Datenverkehrsweiterleitung Ihrem gewünschten Remotenetzwerk zu.

Melden Sie sich bei Graph Explorer an.
Wählen Sie in der Dropdownliste PATCH als HTTP-Methode aus.
Wählen Sie die API-Version für beta aus.

Geben Sie die Abfrage ein.

GET https://graph.microsoft.com/beta/networkaccess/forwardingprofiles

Wählen Sie Abfrage ausführen aus.
Suchen Sie die ID des gewünschten Profils für die Datenverkehrsweiterleitung.
Wählen Sie in der Dropdownliste PATCH als HTTP-Methode aus.

Geben Sie die Abfrage ein.

    PATCH https://graph.microsoft.com/beta/networkAccess/connectivity/remoteNetworks/dc6a7efd-6b2b-4c6a-84e7-5dcf97e62e04
    Content-Type: application/json

    {
        "name": "Test Redmond branch"
    }

Durchsetzung von Datenverkehrsprofilen bei Verbindungen zu entfernten Netzwerkgeräten

Diese Durchsetzung bedeutet:

Wenn Sie nur das Microsoft-Datenverkehrsprofil einem Remotenetzwerk zuordnen, verwirft das globale Gateway für sicheren Zugriff jeglichen nicht-Microsoft-Datenverkehr (z. B. allgemeiner Internetdatenverkehr), der über die Geräteverbindung gesendet wird.
Wenn Sie nur das Internet Access-Datenverkehrsprofil einem Remotenetzwerk zuordnen, verwirft das Gateway für globale sichere Zugriffe jeglichen Microsoft-Datenverkehr, der über die Geräteverbindung gesendet wird.

Von Bedeutung

Um unbeabsichtigten Datenverkehrsverlust zu vermeiden, ordnen Sie beide sowohl das Microsoft-Datenverkehrsprofil als auch das Internet Access-Datenverkehrsprofil Ihrem Remotenetzwerk zu, wenn Ihre Lizenz es zulässt. Diese Konfiguration stellt sicher, dass das entsprechende Profil den gesamten Datenverkehr verarbeitet, der über den IPsec-Tunnel weitergeleitet wird, anstatt ihn im Hintergrund am Gateway abzuziehen.

Ausführliche Informationen zu verfügbaren Datenverkehrsweiterleitungsprofilen und deren Konfiguration finden Sie unter Global Secure Access Traffic Forwarding Profile.

Überprüfen Ihrer Remotenetzwerkkonfigurationen

Berücksichtigen und überprüfen Sie beim Erstellen von Remotenetzwerken einige Einstellungen. Möglicherweise müssen Sie einige Einstellungen mehrfach überprüfen.

Überprüfen Sie das IKE-Kryptoprofil: Das Kryptoprofil (IKE Phase 1- und Phase 2-Algorithmen) für einen Gerätelink sollte mit der CPE-Einstellung übereinstimmen. Wenn Sie die standardmäßige IKE-Richtlinie auswählen, stellen Sie sicher, dass Ihr CPE mit dem im Referenzartikel " Remotenetzwerkkonfigurationen" angegebenen Kryptoprofil eingerichtet ist.
Verify pre-shared key: Vergleichen Sie den vorab freigegebenen Schlüssel (PSK), den Sie beim Erstellen der Geräteverknüpfung in Microsoft globalen sicheren Zugriff mit dem PSK angeben, den Sie für Ihr CPE angeben. Fügen Sie dieses Detail während des Vorgangs "Link hinzufügen" auf der Registerkarte "Sicherheit" hinzu. Weitere Informationen finden Sie unter Verwalten von Remotenetzwerk-Geräteverbindungen.
Überprüfen Sie lokale und Peer-BGP-IP-Adressen: Die öffentliche IP-Adresse und die BGP-Adresse, die Sie zur Konfiguration des CPE verwenden, müssen mit denen übereinstimmen, die Sie beim Erstellen einer Gerätschaftsverbindung in Microsoft Global Secure Access verwenden.
- Verweisen Sie auf die liste der gültigen BGP-Adressen für reservierte Werte, die Sie nicht verwenden können.
  - Die lokalen und Peer-BGP-Adressen werden zwischen dem CPE und dem, was Sie in Global Secure Access eingegeben haben, vertauscht.
  - CPE: Lokale BGP-IP-Adresse = IP1, Peer-BGP-IP-Adresse = IP2
  - Global Secure Access: Lokale BGP-IP-Adresse = IP2, Peer-BGP-IP-Adresse = IP1
- Wählen Sie eine IP-Adresse für Global Secure Access aus, die sich nicht mit Ihrem lokalen Netzwerk überschneidet.
Verify ASN: Global Secure Access verwendet BGP, um Routen zwischen zwei autonomen Systemen anzukündigen: Ihr Netzwerk und Microsoft. Diese autonomen Systeme weisen unterschiedliche autonome Systemnummern (ASNs) auf.
- Verweisen Sie auf die liste der gültigen ASN-Werte für reservierte Werte, die Sie nicht verwenden können.
- Verwenden Sie beim Erstellen eines Remotenetzwerks im Microsoft Entra admin center das ASN Ihres Netzwerks.
- Verwenden Sie beim Konfigurieren des CPE Microsoft ASN. Navigieren Sie zu Global Secure Access>Geräte>Remotenetzwerke. Wählen Sie Verbindungen aus, und prüfen Sie den Wert in der Spalte Verbindungs-ASN.
Überprüfen Ihrer öffentlichen IP-Adresse: In einer Testumgebung oder einer Lab-Einrichtung kann sich die öffentliche IP-Adresse Ihres CPE-Geräts unerwartet ändern. Diese Änderung kann dazu führen, dass die IKE-Aushandlung fehlschlägt, obwohl alles gleich geblieben ist.
- Führen Sie in diesem Szenario die folgenden Schritte aus:
  - Aktualisieren Sie die öffentliche IP-Adresse im kryptografischen Profil Ihres CPE-Geräts.
  - Navigieren Sie zu Global Secure Access>Geräte>Remotenetzwerke.
  - Wählen Sie das entsprechende Remotenetzwerk aus, löschen Sie den alten Tunnel, und erstellen Sie einen neuen Tunnel mit der aktualisierten öffentlichen IP-Adresse.
Überprüfen Sie die öffentliche IP-Adresse von Microsoft: Wenn Sie einen Gerätelink löschen und/oder einen neuen erstellen, erhalten Sie möglicherweise einen anderen öffentlichen IP-Endpunkt dieses Links in Konfiguration anzeigen für dieses Remotenetzwerk. Diese Änderung kann dazu führen, dass die IKE-Aushandlung fehlschlägt. Wenn dieses Szenario auftritt, aktualisieren Sie die öffentliche IP-Adresse im kryptografischen Profil Ihres CPE-Geräts.
Überprüfen Sie die BGP-Verbindungseinstellung auf Ihrem CPE: Angenommen, Sie erstellen eine Geräteverbindung für ein Remotenetzwerk. Microsoft bietet Ihnen die öffentliche IP-Adresse, z. B. PIP1, und BGP-Adresse, z. BGP1, des Gateways. Diese Konnektivitätsinformationen sind unter localConfigurations im JSON-Blob verfügbar, das angezeigt wird, wenn Sie Konfiguration anzeigen für dieses Remotenetzwerk auswählen. Stellen Sie auf Ihrem CPE sicher, dass Sie eine statische Route für BGP1 haben, die über die mit PIP1 erstellte Tunnelschnittstelle gesendet wurde. Die Route ist notwendig, damit CPE die BGP-Routen lernen kann, die wir über den IPsec-Tunnel veröffentlichen, den Sie mit Microsoft erstellt haben.
Überprüfen der Firewallregeln: Erlauben Sie UDP-Port 500 und 4500 und TCP-Port 179 (Transmission Control Protocol) für IPsec-Tunnel und BGP-Konnektivität in Ihrer Firewall.
Portweiterleitung: In einigen Situationen kann es sich beim ISP (Internetdienstanbieter)-Router auch um ein NAT-Gerät (Network Address Translation, Netzwerkadressenübersetzung) handeln. Ein NAT (Network Address Translation) wandelt die privaten IP-Adressen von Heimgeräten in eine öffentliche, internetfähige IP-Adresse um.
- Im Allgemeinen ändert ein NAT-Gerät sowohl die IP-Adresse als auch den Port. Dieser Portwechsel ist die Ursache des Problems.
- Damit IPsec-Tunnel funktionieren, verwendet Global Secure Access Port 500. An diesem Port erfolgt die IKE-Aushandlung.
- Wenn der ISP-Router diesen Port in einen anderen ändert, kann Global Secure Access diesen Datenverkehr nicht identifizieren, und die Aushandlung schlägt fehl.
- Daher tritt bei Phase 1 der IKE-Aushandlung ein Fehler auf, und der Tunnel wird nicht eingerichtet.
- Um diesen Fehler zu beheben, schließen Sie die Portweiterleitung auf Ihrem Gerät ab, wodurch der ISP-Router angibt, den Port nicht zu ändern und ihn as-isweiterzuleiten.

Nächste Schritte

Um mit Microsoft Entra Internet Access zu beginnen, richten Sie das Microsoft-Trafficprofil mit der Richtlinie für bedingten Zugriff aus.

Weitere Informationen zu Remotenetzwerken finden Sie in den folgenden Artikeln:

Remotenetzwerke auflisten
Verwalten von Remotenetzwerken
Erfahren Sie, wie Sie Verbindungen zu Geräten in einem Remotenetzwerk hinzufügen.

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-15

Erstellen eines Fernnetzwerks mit Global Secure Access

Voraussetzungen

Bekannte Einschränkungen

Übergeordnete Schritte

Grundlagen

Konnektivität

Datenverkehrsweiterleitungsprofile

Durchsetzung von Datenverkehrsprofilen bei Verbindungen zu entfernten Netzwerkgeräten

Anzeigen der CPE-Konnektivitätskonfiguration

Einrichten Ihres CPE-Geräts

Überprüfen Ihrer Remotenetzwerkkonfigurationen

Nächste Schritte

Feedback

Zusätzliche Ressourcen