Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Översikt
Global säker åtkomst stöder två anslutningsalternativ: installera en klient på en slutanvändarenhet och konfigurera ett fjärrnätverk, till exempel en grenplats med en fysisk router. Fjärrnätverksanslutning effektiviserar hur dina slutanvändare och gäster ansluter från ett fjärrnätverk utan att behöva installera den globala klienten för säker åtkomst.
Den här artikeln beskriver de viktigaste begreppen för fjärrnätverksanslutning tillsammans med vanliga scenarier där det är användbart.
Vad är ett fjärrnätverk?
Fjärrnätverk är fjärrplatser eller nätverk som kräver internetanslutning. Många organisationer har till exempel ett centralt huvudkontor och avdelningskontor i olika geografiska områden. Dessa avdelningskontor behöver åtkomst till företagets data och tjänster. De behöver ett säkert sätt att kommunicera med datacenter, huvudkontor och distansarbetare. Säkerheten för fjärrnätverk är avgörande för många typer av organisationer.
Vanligtvis ansluter du fjärrnätverk, till exempel en grenplats, till företagsnätverket via ett dedikerat WAN-nätverk (Wide Area Network) eller en VPN-anslutning (Virtual Private Network). Anställda på grenplatsen ansluter till nätverket med hjälp av kundens lokala utrustning (CPE).
Aktuella utmaningar med fjärrnätverkssäkerhet
Bandbreddskraven har ökat – Antalet enheter som kräver internetåtkomst ökar exponentiellt. Traditionella nätverk är svåra att skala. Med tillkomsten av SaaS-program (Software as a Service) som Microsoft 365, finns det ständigt växande krav på låg svarstid och jitterfri kommunikation som traditionella tekniker som Wide Area Network (WAN) och MPLS (Multi-Protocol Label Switching) kämpar med.
IT-team är dyra – Vanligtvis placerar du brandväggar på fysiska enheter lokalt, vilket kräver ett IT-team för installation och underhåll. Det är dyrt att underhålla ett IT-team på varje avdelningsplats.
Utvecklande hot – Skadliga aktörer fortsätter att hitta nya vägar för att attackera enheterna vid nätverkens periferi. Edge-enheter på avdelningskontor eller till och med hemmakontor är ofta den mest sårbara angreppspunkten.
Tips/Råd
Vägledning om hur du förbättrar motståndskraften för fjärrnätverk finns i Metodtips för motståndskraft för fjärrnätverk med global säker åtkomst.
Hur fungerar global säker åtkomst fjärrnätverksanslutning?
Om du vill ansluta ett fjärrnätverk till global säker åtkomst konfigurerar du en IPsec-tunnel (Internet Protocol Security) mellan din lokala utrustning och slutpunkten global säker åtkomst. Dirigera trafiken som du anger via IPsec-tunneln till närmaste globala slutpunkt för säker åtkomst. Du kan tillämpa säkerhetsprinciper i Microsoft Entra administrationscenter.
Global säker åtkomst fjärrnätverksanslutning ger en säker lösning mellan ett fjärrnätverk och den globala tjänsten för säker åtkomst. Den tillhandahåller ingen säker anslutning mellan ett fjärrnätverk och ett annat. Mer information om säker fjärranslutning mellan nätverk finns i dokumentationen Azure Virtual WAN.
Stödda profiler för vidarebefordring av trafik
Fjärrnätverk stöder olika trafikvidarebefordringsprofiler för att hämta trafik. Profiler för vidarebefordran av trafik styr vilken trafik som dirigeras via global säker åtkomst. Säkerhetsprofiler, till exempel baslinjeprofilen, styr vilka principer som tillämpas på den förvärvade trafiken.
| Profil för trafikvidarebefordring | Global säker åtkomst-klient | Fjärrnätverk |
|---|---|---|
| Microsoft trafik | ✅ Stödd | ✅ Stödd |
| Internetåtkomst | ✅ Stödd | ✅ Stödd |
| Privat åtkomst | ✅ Stödd | ❌ Stöds inte |
Viktigt!
Du kan tilldela Microsoft trafik och Internet Access trafikvidarebefordringsprofiler till fjärrnätverk. Trafikvidarebefordringsprofilen för privat åtkomst kräver att Global Secure Access-klienten är installerad på slutanvändarenheter. Mer information finns i Tilldela en trafikprofil till ett fjärrnätverk och Förstå profiler för vidarebefordran av trafik.
När du har hämtat trafik via en vidarebefordringsprofil tillämpar du säkerhetsprinciper på den med hjälp av säkerhetsprofiler. Säkerhetsprofilen för baslinjen tillämpar principer på klientorganisationsnivå för all trafik som dirigeras via global säker åtkomst, inklusive fjärrnätverkstrafik. Användarmedvetna säkerhetsprofiler som är länkade till principer för villkorsstyrd åtkomst kräver global säker åtkomstklient.
Tillämning av trafikprofiler på fjärrnätverksenheters länkar
Global säker åtkomst framtvingar trafikvidarebefordringsprofiler för alla enhetslänkar, till exempel IPsec-tunnlar som är associerade med ett fjärrnätverk. Den vidarebefordrar endast trafiktyper som matchar en aktiverad och associerad trafikvidarebefordringsprofil. Den globala gatewayen för säker åtkomst släpper all annan trafik.
Denna tillämpning innebär att:
- Om du bara associerar Microsoft trafikprofil med ett fjärrnätverk, släpper den globala gatewayen för säker åtkomst all trafik som inte Microsoft (till exempel allmän Internettrafik) som skickas via enhetslänken.
- Om du bara associerar trafikprofilen Internet Access med ett fjärrnätverk, släpper den globala gatewayen för säker åtkomst all Microsoft trafik som skickas via enhetslänken.
Viktigt!
Undvik oavsiktlig trafikförlust genom att associera both trafikprofilen Microsoft och Internet Access-trafikprofilen med fjärrnätverket om licensen tillåter det. Den här konfigurationen säkerställer att lämplig profil hanterar all trafik som vidarebefordras över IPsec-tunneln i stället för att tyst släppa den vid gatewayen.
Mer information om tillgängliga profiler för vidarebefordran av trafik och deras konfiguration finns i Profiler för vidarebefordran av global säker åtkomsttrafik.
Varför är fjärranslutningen viktig för dig?
Att upprätthålla säkerheten för ett företagsnätverk blir allt svårare i en värld av distansarbete och distribuerade team. Security Service Edge (SSE) utlovar en värld av säkerhet där kunderna kan komma åt sina företagsresurser var som helst i världen utan att behöva backhaul sin trafik till huvudkontoret.
Vanliga scenarier för fjärrnätverksanslutning
Jag vill inte installera klienter på tusentals lokala enheter.
Vanligtvis framtvingar du SSE genom att installera klienten på en enhet. Klienten skapar en tunnel till närmaste SSE-slutpunkt och dirigerar all Internettrafik genom den. Handelshögskolans lösningar inspekterar trafiken och tillämpar säkerhetsprinciper. Om användarna inte är mobila och är baserade på en fysisk grenplats, eliminerar fjärrnätverksanslutningen för den grenplatsen smärtan av att installera klienten på varje enhet. Du kan ansluta hela grenplatsen genom att skapa en IPSec-tunnel mellan kärnroutern för avdelningskontoret och slutpunkten global säker åtkomst.
Jag kan inte installera klienter på alla enheter som min organisation äger.
Ibland kan du inte installera klienten på alla enheter. Global Säker åtkomst tillhandahåller för närvarande klienter för Windows, macOS, Android och iOS. Men hur är det med Linux, stordatorer, kameror, skrivare och andra typer av enheter som är lokala och skickar trafik till Internet? Du måste fortfarande övervaka och skydda den här trafiken. När du ansluter ett fjärrnätverk kan du ange principer för all trafik från den platsen oavsett vilken enhet den har sitt ursprung i.
Jag har gäster i nätverket som inte har klienten installerad.
Gästenheter i nätverket kanske inte har klienten installerad. För att säkerställa att enheterna följer dina nätverkssäkerhetsprinciper behöver du deras trafik dirigerad via slutpunkten global säker åtkomst. Fjärranslutning löser det här problemet. Du behöver inte installera klienten på gästenheter. All utgående trafik från fjärrnätverket genomgår som standard säkerhetsutvärdering.
Vad är bandbreddsallokeringen för varje hyresgäst?
Antalet licenser som du köper avgör din totala bandbreddsallokering. Varje Microsoft Entra ID P1-licens, Microsoft Entra internetåtkomst licens och Microsoft Entra-sviten licens lägger till din totala bandbredd. Du kan tilldela bandbredd för fjärrnätverk till IPsec-tunnlar i steg om 250 Mbit/s, 500 Mbit/s, 750 Mbit/s eller 1 000 Mbit/s. Den här flexibiliteten innebär att du kan allokera bandbredd till olika fjärrnätverksplatser baserat på dina specifika behov. För bästa prestanda rekommenderar Microsoft att du konfigurerar minst två IPsec-tunnlar per plats för hög tillgänglighet. I följande tabell visas den totala bandbredden baserat på antalet licenser som du köper.
Inledande bandbreddsallokering
| Antal licenser | Total bandbredd (megabit/s) |
|---|---|
| 50 – 99 | 500 Mbit/s |
| 100 – 499 | 1 000 Mbit/s |
| 500 – 999 | 2 000 Mbit/s |
| 1,000 – 1,499 | 3 500 Mbit/s |
| 1,500 – 1,999 | 4 000 Mbit/s |
| 2,000 – 2,499 | 4 500 Mbit/s |
| 2,500 – 2,999 | 5 000 Mbit/s |
| 3,000 – 3,499 | 5 500 Mbit/s |
| 3,500 – 3,999 | 6 000 Mbit/s |
| 4,000 – 4,499 | 6 500 Mbit/s |
| 4,500 – 4,999 | 7 000 Mbit/s |
| 5,000 – 5,499 | 10 000 Mbit/s |
| 5,500 – 5,999 | 10 500 Mbit/s |
| 6,000 – 6,499 | 11 000 Mbit/s |
| 6,500 – 6,999 | 11 500 Mbit/s |
| 7,000 – 7,499 | 12 000 Mbit/s |
| 7,500 – 7,999 | 12 500 Mbit/s |
| 8,000 – 8,499 | 13 000 Mbit/s |
| 8,500 – 8,999 | 13 500 Mbit/s |
| 9,000 – 9,499 | 14 000 Mbit/s |
| 9,500 – 9,999 | 14 500 Mbit/s |
| 10 000 eller fler | 35 000 Mbit/s + |
Tabellanteckningar
- Du behöver minst 50 licenser för att kunna använda funktionen för fjärrnätverksanslutning.
- Antalet licenser är det totala antalet licenser som du köper (Microsoft Entra ID P1 + Microsoft Entra internetåtkomst/Microsoft Entra-sviten). Efter 10 000 licenser får du ytterligare 500 Mbit/s för varje 500 licenser du köper (till exempel 11 000 licenser = 36 000 Mbit/s).
- Organisationer som går längre än 10 000 licenser fungerar ofta i företagsskala och behöver mer robust infrastruktur. Hoppet till 35 000 Mbit/s garanterar gott om kapacitet för att uppfylla kraven för sådana distributioner, stöder högre trafikvolymer och ger flexibiliteten att utöka bandbreddsallokeringar efter behov.
- Om du behöver mer bandbredd kan du köpa extra bandbredd i steg om 500 Mbit/s via SKU:n för fjärrnätverksbandbredd.
Exempel på allokerad bandbredd per hyresgäst
Tenant 1:
- 1 000 Microsoft Entra ID P1-licenser
- Tilldelat: 1 000 licenser, 3 500 Mbps
Hyresgäst två:
- 3 000 Microsoft Entra ID P1-licenser
- 3 000 Internetåtkomstlicenser
- Tilldelade: 6 000 licenser, 11 000 Mbit/s
Hyresgäst tre:
- 8 000 Microsoft Entra ID P1-licenser
- 6 000 Microsoft Entra-sviten licenser
- Allokerat: 14 000 licenser, 39 000 Mbit/s
Exempel på bandbreddsfördelning för fjärrnätverk
Hyresgäst ett:
Total bandbredd: 3 500 Mbit/s
Tilldelning:
- Plats A: 2 IPsec-tunnlar: 2 x 250 Mbit/s = 500 Mbit/s
- Plats B: 2 IPsec-tunnlar: 2 x 250 Mbit/s = 500 Mbit/s
- Plats C: 2 IPsec-tunnlar: 2 x 500 Mbit/s = 1 000 Mbit/s
- Plats D: 2 IPsec-tunnlar: 2 x 750 Mbit/s = 1 500 Mbit/s
Återstående bandbredd: Ingen
Hyresgäst två:
Total bandbredd: 11 000 Mbit/s
Tilldelning:
- Plats A: 2 IPsec-tunnlar: 2 x 250 Mbit/s = 500 Mbit/s
- Plats B: 2 IPsec-tunnlar: 2 x 500 Mbit/s = 1 000 Mbit/s
- Plats C: 2 IPsec-tunnlar: 2 x 750 Mbit/s = 1 500 Mbit/s
- Plats D: 2 IPsec-tunnlar: 2 x 1 000 Mbit/s = 2 000 Mbit/s
- Plats E: 2 IPsec-tunnlar: 2 x 1 000 Mbit/s = 2 000 Mbit/s
Återstående bandbredd: 4 000 Mbit/s
Tenant tre:
Total bandbredd: 39 000 Mbit/s
Tilldelning:
- Plats A: 2 IPsec-tunnlar: 2 x 250 Mbit/s = 500 Mbit/s
- Plats B: 2 IPsec-tunnlar: 2 x 500 Mbit/s = 1 000 Mbit/s
- Plats C: 2 IPsec-tunnlar: 2 x 750 Mbit/s = 1 500 Mbit/s
- Plats D: 2 IPsec-tunnlar: 2 x 750 Mbit/s = 1 500 Mbit/s
- Plats E: 2 IPsec-tunnlar: 2 x 1 000 Mbit/s = 2 000 Mbit/s
- Plats F: 2 IPsec-tunnlar: 2 x 1 000 Mbit/s = 2 000 Mbit/s
- Plats G: 2 IPsec-tunnlar: 2 x 1 000 Mbit/s = 2 000 Mbit/s
Återstående bandbredd: 28 500 Mbit/s