Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Aperçu
Global Secure Access prend en charge deux options de connectivité : l’installation d’un client sur un appareil utilisateur final et la configuration d’un réseau distant, comme un emplacement de branche avec un routeur physique. La connectivité réseau distant simplifie la façon dont vos utilisateurs finaux et invités se connectent à partir d'un réseau distant sans avoir à installer le client de l'Accès global sécurisé.
Cet article décrit les concepts clés de la connectivité réseau distant ainsi que les scénarios courants dans lesquels elle est utile.
Qu'est-ce qu'un réseau distant ?
Les réseaux distants sont des emplacements distants ou des réseaux qui nécessitent une connectivité Internet. Par exemple, de nombreuses organisations possèdent un siège central et des filiales réparties dans différentes zones géographiques. Ces filiales ont besoin d'accéder aux services et données d'entreprise. Ils ont besoin d’un moyen sécurisé de communiquer avec le centre de données, le siège social et les travailleurs distants. La sécurité des réseaux distants est cruciale pour de nombreux types d'organisations.
En règle générale, vous connectez des réseaux distants, tels qu’un emplacement de branche, au réseau d’entreprise via un réseau étendu dédié (WAN) ou une connexion VPN (Virtual Private Network). Les employés de l’emplacement de la branche se connectent au réseau à l’aide de l’équipement local client (CPE).
Les défis actuels de la sécurité des réseaux distants
Les besoins en bande passante ont augmenté : le nombre d’appareils nécessitant un accès à Internet augmente de façon exponentielle. La mise à l'échelle des réseaux traditionnels est difficile. Avec l’avènement des applications SaaS (Software as a Service), telles que Microsoft 365, les demandes pour une communication à faible latence et sans gigue augmentent continuellement, ce que les technologies traditionnelles, telles que le réseau étendu (WAN) et la commutation d'étiquettes multiprotocoles (MPLS), ont du mal à gérer.
Les équipes informatiques sont coûteuses : en règle générale, vous placez des pare-feu sur des appareils physiques locaux, ce qui nécessite une équipe informatique pour la configuration et la maintenance. Le maintient d'une équipe informatique dans chaque filiale représente un coût important.
Menaces évolutives : les acteurs malveillants continuent de trouver de nouvelles voies d’attaque sur les appareils à la périphérie des réseaux. Les appareils périphériques dans les filiales ou même en télétravail sont souvent le point d'attaque le plus vulnérable.
Conseil / Astuce
Pour obtenir des conseils sur l’amélioration de la résilience des réseaux distants, consultez les meilleures pratiques pour la résilience du réseau distant d’accès sécurisé global.
Comment fonctionne la connectivité réseau distant de l'Accès global sécurisé ?
Pour connecter un réseau distant à Global Secure Access, configurez un tunnel IPsec (Internet Protocol Security) entre votre équipement local et le point de terminaison Global Secure Access. Routez le trafic que vous spécifiez via le tunnel IPsec vers le point de terminaison Global Secure Access le plus proche. Vous pouvez appliquer des stratégies de sécurité dans le centre d’administration Microsoft Entra.
La connectivité réseau distant de l'Accès global sécurisé fournit une solution sécurisée entre un réseau distant et le service Accès global sécurisé. Elle ne fournit pas de connexion sécurisée entre un réseau distant et un autre. Pour plus d'informations sur une connectivité sécurisée entre réseaux distants, consultez la documentation Azure Virtual WAN.
Profils de transfert de trafic pris en charge
Les réseaux distants prennent en charge différents profils de transfert de trafic pour l’acquisition du trafic. Les profils de transfert de trafic contrôlent le trafic acheminé via l’accès sécurisé global. Les profils de sécurité, tels que le profil de base, contrôlent les stratégies appliquées à ce trafic acquis.
| Profil de transfert de trafic | Client d’accès global sécurisé | Réseau distant |
|---|---|---|
| Trafic Microsoft | ✅ Supporté | ✅ Supporté |
| Accès à Internet. | ✅ Supporté | ✅ Supporté |
| Accès privé | ✅ Supporté | ❌ Non pris en charge |
Important
Vous pouvez affecter les profils de transfert de trafic pour le trafic Microsoft et Internet Access à des réseaux distants. Le profil de transfert du trafic d’accès privé nécessite que le client Global Secure Access soit installé sur les appareils de l’utilisateur final. Pour plus d’informations, consultez Affecter un profil de trafic à un réseau distant et comprendre les profils de transfert de trafic.
Après avoir acquis le trafic via un profil de transfert, appliquez-lui des stratégies de sécurité à l’aide de profils de sécurité. Le profil de sécurité de base applique des stratégies au niveau du locataire pour tout le trafic routé via l’accès sécurisé global, y compris le trafic réseau distant. Les profils de sécurité prenant en charge les utilisateurs liés aux stratégies d’accès conditionnel nécessitent le client Global Secure Access.
Mise en application des profils de trafic sur les liens des appareils réseau distants
Global Secure Access applique des profils de transfert de trafic pour tous les liens d’appareil, tels que les tunnels IPsec, associés à un réseau distant. Il transfère uniquement les types de trafic qui correspondent à un profil de transfert de trafic activé et associé. La passerelle d’accès sécurisé global supprime tout le trafic.
Cela implique :
- Si vous associez uniquement le profil de trafic Microsoft à un réseau distant, la passerelle d’accès sécurisé global supprime tout trafic non Microsoft (tel que le trafic Internet général) envoyé via le lien de l’appareil.
- Si vous associez uniquement le profil de trafic Internet Access à un réseau distant, la passerelle d’accès sécurisé global supprime tout trafic Microsoft envoyé via la liaison de l’appareil.
Important
Pour éviter toute perte de trafic involontaire, associez both le profil de trafic Microsoft et le profil de trafic Internet Access avec votre réseau distant si votre licence l’autorise. Cette configuration garantit que le profil approprié gère tout le trafic transféré sur le tunnel IPsec plutôt que de le supprimer silencieusement sur la passerelle.
Pour plus d’informations sur les profils de transfert de trafic disponibles et leur configuration, consultez les profils de transfert de trafic Global Secure Access.
Pourquoi la connectivité réseau distante est-elle importante pour vous ?
Dans un monde de travail à distance et d'équipes distribuées, le maintient de la sécurité d'un réseau d'entreprise est de plus en plus difficile. Security Service Edge (SSE) promet un monde de sécurité où les clients peuvent accéder à leurs ressources d’entreprise depuis n’importe où dans le monde sans avoir besoin de sauvegarder leur trafic vers le siège social.
Scénarios courants de connectivité réseau distant
Je ne veux pas installer de clients sur des milliers d’appareils locaux.
En règle générale, vous appliquez SSE en installant le client sur un appareil. Le client crée un tunnel vers le point de terminaison SSE le plus proche et y achemine tout le trafic Internet. Les solutions SSE inspectent le trafic et appliquent des stratégies de sécurité. Si vos utilisateurs ne sont pas mobiles et sont basés dans un emplacement de branche physique, la connectivité réseau distante pour cet emplacement de branche supprime la douleur d’installer le client sur chaque appareil. Vous pouvez connecter l'ensemble de la filiale en créant un tunnel IPSec entre le routeur principal de la filiale et le point de terminaison de l'Accès global sécurisé.
Je ne peux pas installer de clients sur tous les appareils de mon organisation.
Parfois, vous ne pouvez pas installer le client sur tous les appareils. Global Secure Access fournit actuellement des clients pour Windows, macOS, Android et iOS. Mais qu’en est-il de Linux, mainframes, caméras, imprimantes et autres types d’appareils qui sont locaux et envoient du trafic vers Internet ? Vous devez toujours surveiller et sécuriser ce trafic. Lorsque vous connectez un réseau distant, vous pouvez définir des stratégies pour tout le trafic à partir de cet emplacement, quel que soit l'appareil d'où il provient.
J'ai des invités sur mon réseau qui n'ont pas le client installé.
Le client n'est peut-être pas installé sur les appareils invités de votre réseau. Pour vous assurer que ces appareils adhèrent à vos stratégies de sécurité réseau, leur trafic doit être acheminé via le point de terminaison de l'Accès global sécurisé. La connectivité réseau distant résout ce problème. Vous n’avez pas besoin d’installer le client sur les appareils invités. Tout le trafic sortant du réseau distant passe par défaut par l’évaluation de la sécurité.
Qu’est-ce que l’allocation de bande passante pour chaque locataire ?
Le nombre de licences que vous achetez détermine votre allocation totale de bande passante. Chaque licence Microsoft Entra ID P1, Accès Internet Microsoft Entra licence et Suite Microsoft Entra licence ajoute à votre bande passante totale. Vous pouvez affecter de la bande passante pour les réseaux distants aux tunnels IPsec par incréments de 250 Mbits/s, 500 Mbits/s, 750 Mbits/s ou 1 000 Mbits/s. Cette flexibilité signifie que vous pouvez allouer de la bande passante à différents emplacements réseau distants en fonction de vos besoins spécifiques. Pour des performances optimales, Microsoft recommande de configurer au moins deux tunnels IPsec par emplacement pour la haute disponibilité. Le tableau suivant montre la bande passante totale en fonction du nombre de licences que vous achetez.
Allocation de bande passante initiale
| Nombre de licences | Bande passante totale (Mbits/s) |
|---|---|
| 50 – 99 | 500 Mbits/s |
| 100 – 499 | 1 000 Mbits/s |
| 500 – 999 | 2 000 Mbits/s |
| 1,000 – 1,499 | 3 500 Mbits/s |
| 1,500 – 1,999 | 4 000 Mbits/s |
| 2,000 – 2,499 | 4 500 Mbits/s |
| 2,500 – 2,999 | 5 000 Mbits/s |
| 3,000 – 3,499 | 5 500 Mbits/s |
| 3,500 – 3,999 | 6 000 Mbits/s |
| 4,000 – 4,499 | 6 500 Mbits/s |
| 4,500 – 4,999 | 7 000 Mbits/s |
| 5,000 – 5,499 | 10 000 Mbits/s |
| 5,500 – 5,999 | 10 500 Mbits/s |
| 6,000 – 6,499 | 11 000 Mbits/s |
| 6,500 – 6,999 | 11 500 Mbits/s |
| 7,000 – 7,499 | 12 000 Mbits/s |
| 7,500 – 7,999 | 12 500 Mbits/s |
| 8,000 – 8,499 | 13 000 Mbits/s |
| 8,500 – 8,999 | 13 500 Mbits/s |
| 9,000 – 9,499 | 14 000 Mbits/s |
| 9,500 – 9,999 | 14 500 Mbits/s |
| 10 000 + | 35 000 Mbits/s + |
Notes de tableau
- Vous avez besoin d’au moins 50 licences pour utiliser la fonctionnalité de connectivité réseau distante.
- Le nombre de licences correspond au nombre total de licences que vous achetez (Microsoft Entra ID P1 + Accès Internet Microsoft Entra / Suite Microsoft Entra). Après 10 000 licences, vous obtenez un supplément de 500 Mbits/s pour chaque 500 licences que vous achetez (par exemple, 11 000 licences = 36 000 Mbits/s).
- Les organisations qui dépassent 10 000 licences fonctionnent souvent à l’échelle de l’entreprise et ont besoin d’une infrastructure plus robuste. Le passage à 35 000 Mbits/s garantit une capacité suffisante pour répondre aux demandes de ces déploiements, prend en charge des volumes de trafic plus élevés et offre la possibilité d’étendre les allocations de bande passante si nécessaire.
- Si vous avez besoin de plus de bande passante, vous pouvez acheter une bande passante supplémentaire par incréments de 500 Mbits/s via la référence SKU de bande passante réseau distante.
Exemples de bande passante allouée par locataire
Locataire 1 :
- 1 000 licences Microsoft Entra ID P1
- Alloué : 1 000 licences, 3 500 Mbits/s
Locataire 2 :
- 3 000 licences Microsoft Entra ID P1
- 3 000 licences d’accès à Internet
- Alloué : 6 000 licences, 11 000 Mbits/s
Locataire trois :
- 8 000 licences Microsoft Entra ID P1
- 6 000 licences Suite Microsoft Entra
- Alloué : 14 000 licences, 39 000 Mbits/s
Exemples de distribution de bande passante pour les réseaux distants
Locataire 1 :
Bande passante totale : 3 500 Mbits/s
Allocation :
- Site A : 2 tunnels IPsec : 2 x 250 Mbits/s = 500 Mbits/s
- Site B : 2 tunnels IPsec : 2 x 250 Mbits/s = 500 Mbits/s
- Site C : 2 tunnels IPsec : 2 x 500 Mbits/s = 1 000 Mbits/s
- Site D : 2 tunnels IPsec : 2 x 750 Mbits/s = 1 500 Mbits/s
Bande passante restante : Aucun
Locataire 2 :
Bande passante totale : 11 000 Mbits/s
Allocation :
- Site A : 2 tunnels IPsec : 2 x 250 Mbits/s = 500 Mbits/s
- Site B : 2 tunnels IPsec : 2 x 500 Mbits/s = 1 000 Mbits/s
- Site C : 2 tunnels IPsec : 2 x 750 Mbits/s = 1 500 Mbits/s
- Site D : 2 tunnels IPsec : 2 x 1 000 Mbits/s = 2 000 Mbits/s
- Site E : 2 tunnels IPsec : 2 x 1 000 Mbits/s = 2 000 Mbits/s
Bande passante restante : 4 000 Mbits/s
Locataire 3 :
Bande passante totale : 39 000 Mbits/s
Allocation :
- Site A : 2 tunnels IPsec : 2 x 250 Mbits/s = 500 Mbits/s
- Site B : 2 tunnels IPsec : 2 x 500 Mbits/s = 1 000 Mbits/s
- Site C : 2 tunnels IPsec : 2 x 750 Mbits/s = 1 500 Mbits/s
- Site D : 2 tunnels IPsec : 2 x 750 Mbits/s = 1 500 Mbits/s
- Site E : 2 tunnels IPsec : 2 x 1 000 Mbits/s = 2 000 Mbits/s
- Site F : 2 tunnels IPsec : 2 x 1 000 Mbits/s = 2 000 Mbits/s
- Site G : 2 tunnels IPsec : 2 x 1 000 Mbits/s = 2 000 Mbits/s
Bande passante restante : 28 500 Mbits/s