Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L'Accès global sécurisé prend en charge deux options de connectivité : l'installation d'un client sur l'appareil de l'utilisateur final et la configuration d'un réseau distant, par exemple un emplacement de filiale avec un routeur physique. La connectivité réseau distant simplifie la façon dont vos utilisateurs finaux et invités se connectent à partir d'un réseau distant sans avoir à installer le client de l'Accès global sécurisé.
Cet article décrit les concepts clés de la connectivité réseau distant ainsi que les scénarios courants dans lesquels elle est utile.
Qu'est-ce qu'un réseau distant ?
Les réseaux distants sont des emplacements distants ou des réseaux qui nécessitent une connectivité Internet. Par exemple, de nombreuses organisations possèdent un siège central et des filiales réparties dans différentes zones géographiques. Ces filiales ont besoin d'accéder aux services et données d'entreprise. Elles ont besoin d'un moyen sécurisé pour communiquer avec le centre de données, le siège et les travailleurs à distance. La sécurité des réseaux distants est cruciale pour de nombreux types d'organisations.
Les réseaux distants, tels que les filiales, sont généralement connectés au réseau d'entreprise via un réseau étendu (WAN) dédié ou une connexion de réseau privé virtuel (VPN). Les employés de la filiale se connectent au réseau à l'aide de l'équipement CPE (Customer Premises Equipment).
Les défis actuels de la sécurité des réseaux distants
Les besoins en bande passante ont augmenté : le nombre d'appareils nécessitant un accès à Internet augmente de manière exponentielle. La mise à l'échelle des réseaux traditionnels est difficile. Avec l'avènement des applications SaaS (Software as a Service) comme Microsoft 365, les technologies traditionnelles telles que le WAN (Wide Area Network) ou le MPLS (MultiProtocol Label Switching) sont confrontées à des exigences croissantes en matière de communication à faible latence et sans gigue.
Les équipes informatiques sont coûteuses : généralement, les pare-feu sont placés sur des appareils physiques sur site, ce qui nécessite une équipe informatique pour leur installation et leur maintenance. Le maintient d'une équipe informatique dans chaque filiale représente un coût important.
Évolution des menaces : les acteurs malveillants trouvent de nouveaux moyens d'attaquer les appareils à la périphérie des réseaux. Les appareils périphériques dans les filiales ou même en télétravail sont souvent le point d'attaque le plus vulnérable.
Conseil / Astuce
Pour obtenir des conseils sur l’amélioration de la résilience des réseaux distants, consultez les meilleures pratiques pour la résilience du réseau distant d’accès sécurisé global.
Comment fonctionne la connectivité réseau distant de l'Accès global sécurisé ?
Pour connecter un réseau distant à l'Accès global sécurisé, configurez un tunnel de sécurité Internet Protocol (IPSec) entre votre équipement local et le point de terminaison de l'Accès global sécurisé. Le trafic que vous spécifiez est acheminé par le tunnel IPSec vers le point de terminaison de l'Accès global sécurisé le plus proche. Vous pouvez appliquer des stratégies de sécurité dans le centre d'administration Microsoft Entra.
La connectivité réseau distant de l'Accès global sécurisé fournit une solution sécurisée entre un réseau distant et le service Accès global sécurisé. Elle ne fournit pas de connexion sécurisée entre un réseau distant et un autre. Pour en savoir plus sur la connectivité sécurisée entre deux réseaux distants, consultez la documentation d'Azure Virtual WAN.
En quoi la connectivité réseau distant est importante pour vous ?
Dans un monde de travail à distance et d'équipes distribuées, le maintient de la sécurité d'un réseau d'entreprise est de plus en plus difficile. Security Service Edge (SSE) promet un monde sécurisé dans lequel les clients peuvent accéder aux ressources de leur entreprise n'importe où dans le monde sans avoir à renvoyer leur trafic au siège.
Scénarios courants de connectivité réseau distant
Je ne souhaite pas installer de clients sur des milliers d'appareils en local.
En général, SSE est appliqué par l'installation d'un client sur un appareil. Le client crée un tunnel vers le point de terminaison SSE le plus proche et y achemine tout le trafic Internet. Les solutions SSE inspectent le trafic et appliquent des stratégies de sécurité. Si vos utilisateurs ne sont pas mobiles et sont basés dans une filiale physique, la connectivité réseau distant pour cet emplacement vous évite de devoir installer un client sur chaque appareil. Vous pouvez connecter l'ensemble de la filiale en créant un tunnel IPSec entre le routeur principal de la filiale et le point de terminaison de l'Accès global sécurisé.
Je ne peux pas installer de clients sur tous les appareils de mon organisation.
Parfois, les clients ne peuvent pas être installés sur tous les appareils. L'Accès global sécurisé fournit actuellement des clients pour Windows. Qu'en est-il de Linux, des mainframes, des caméras, des imprimantes et des autres types d'appareils présents sur site et qui envoient du trafic vers Internet ? Ce trafic doit être surveillé et sécurisé. Lorsque vous connectez un réseau distant, vous pouvez définir des stratégies pour tout le trafic à partir de cet emplacement, quel que soit l'appareil d'où il provient.
J'ai des invités sur mon réseau qui n'ont pas le client installé.
Le client n'est peut-être pas installé sur les appareils invités de votre réseau. Pour vous assurer que ces appareils adhèrent à vos stratégies de sécurité réseau, leur trafic doit être acheminé via le point de terminaison de l'Accès global sécurisé. La connectivité réseau distant résout ce problème. Aucun client n'a besoin d'être installé sur les appareils invités. Tout le trafic sortant du réseau distant passe par une évaluation de sécurité par défaut.
Quantité de bande passante allouée par locataire
La bande passante totale que vous avez allouée est déterminée par le nombre de licences achetées. Chaque licence Microsoft Entra ID P1, licence Microsoft Entra Internet Access ou licence Microsoft Entra Suite contribue à votre bande passante totale. La bande passante pour les réseaux distants peut être affectée à des tunnels IPsec par incréments de 250 Mbits/s, 500 Mbits/s, 750 Mbits/s ou 1 000 Mbits/s. Cette flexibilité vous permet d’allouer de la bande passante à différents emplacements réseau distants en fonction de vos besoins spécifiques. Pour des performances optimales, Microsoft recommande de configurer au moins deux tunnels IPsec par emplacement pour la haute disponibilité. Le tableau ci-dessous détaille la bande passante totale en fonction du nombre de licences achetées.
Allocation de bande passante initiale
| Nombre de licences | Bande passante totale (Mbits/s) |
|---|---|
| 50 – 99 | 500 Mbits/s |
| 100 – 499 | 1 000 Mbits/s |
| 500 – 999 | 2 000 Mbits/s |
| 1,000 – 1,499 | 3 500 Mbits/s |
| 1,500 – 1,999 | 4 000 Mbits/s |
| 2,000 – 2,499 | 4 500 Mbits/s |
| 2,500 – 2,999 | 5 000 Mbits/s |
| 3,000 – 3,499 | 5 500 Mbits/s |
| 3,500 – 3,999 | 6 000 Mbits/s |
| 4,000 – 4,499 | 6 500 Mbits/s |
| 4,500 – 4,999 | 7 000 Mbits/s |
| 5,000 – 5,499 | 10 000 Mbits/s |
| 5,500 – 5,999 | 10 500 Mbits/s |
| 6,000 – 6,499 | 11 000 Mbits/s |
| 6,500 – 6,999 | 11 500 Mbits/s |
| 7,000 – 7,499 | 12 000 Mbits/s |
| 7,500 – 7,999 | 12 500 Mbits/s |
| 8,000 – 8,499 | 13 000 Mbits/s |
| 8,500 – 8,999 | 13 500 Mbits/s |
| 9,000 – 9,499 | 14 000 Mbits/s |
| 9,500 – 9,999 | 14 500 Mbits/s |
| 10 000 + | 35 000 Mbits/s + |
Notes de tableau
- Le nombre minimal de licences permettant d’utiliser la fonctionnalité de connectivité réseau distante est de 50.
- Le nombre de licences est égal au nombre total de licences achetées (Entra ID P1 + Entra Internet Access /Entra Suite). Après 10 000 licences, vous obtenez 500 Mbits/s supplémentaires pour chaque 500 licences achetées (par exemple, 11 000 licences = 36 000 Mbits/s).
- Les organisations qui franchissent la marque de 10 000 licences fonctionnent souvent à l’échelle de l’entreprise nécessitant une infrastructure plus robuste. Le passage à 35 000 Mbits/s garantit une capacité suffisante pour répondre aux demandes de ces déploiements, prendre en charge des volumes de trafic plus élevés et offrir la flexibilité nécessaire pour étendre les allocations de bande passante en fonction des besoins.
- Si davantage de bande passante est nécessaire, une bande passante supplémentaire est disponible pour l’achat par incréments de 500 Mbits/s via la référence SKU de bande passante réseau distante.
Exemples de bande passante allouée par locataire :
Locataire 1 :
- 1 000 licences Entra ID P1
- Alloué : 1 000 licences, 3 500 Mbits/s
Locataire 2 :
- 3 000 licences Entra ID P1
- 3 000 licences d’accès à Internet
- Alloué : 6 000 licences, 11 000 Mbits/s
Locataire 3 :
- 8 000 licences Entra ID P1
- 6 000 licences Entra Suite
- Alloué : 14 000 licences, 39 000 Mbits/s
Exemples de distribution de bande passante pour les réseaux distants
Locataire 1 :
Bande passante totale : 3 500 Mbits/s
Allocation :
- Site A : 2 tunnels IPsec : 2 x 250 Mbits/s = 500 Mbits/s
- Site B : 2 tunnels IPsec : 2 x 250 Mbits/s = 500 Mbits/s
- Site C : 2 tunnels IPsec : 2 x 500 Mbits/s = 1 000 Mbits/s
- Site D : 2 tunnels IPsec : 2 x 750 Mbits/s = 1 500 Mbits/s
Bande passante restante : Aucun
Locataire 2 :
Bande passante totale : 11 000 Mbits/s
Allocation :
- Site A : 2 tunnels IPsec : 2 x 250 Mbits/s = 500 Mbits/s
- Site B : 2 tunnels IPsec : 2 x 500 Mbits/s = 1 000 Mbits/s
- Site C : 2 tunnels IPsec : 2 x 750 Mbits/s = 1 500 Mbits/s
- Site D : 2 tunnels IPsec : 2 x 1 000 Mbits/s = 2 000 Mbits/s
- Site E : 2 tunnels IPsec : 2 x 1 000 Mbits/s = 2 000 Mbits/s
Bande passante restante : 4 000 Mbits/s
Locataire 3 :
Bande passante totale : 39 000 Mbits/s
Allocation :
- Site A : 2 tunnels IPsec : 2 x 250 Mbits/s = 500 Mbits/s
- Site B : 2 tunnels IPsec : 2 x 500 Mbits/s = 1 000 Mbits/s
- Site C : 2 tunnels IPsec : 2 x 750 Mbits/s = 1 500 Mbits/s
- Site D : 2 tunnels IPsec : 2 x 750 Mbits/s = 1 500 Mbits/s
- Site E : 2 tunnels IPsec : 2 x 1 000 Mbits/s = 2 000 Mbits/s
- Site F : 2 tunnels IPsec : 2 x 1 000 Mbits/s = 2 000 Mbits/s
- Site G : 2 tunnels IPsec : 2 x 1 000 Mbits/s = 2 000 Mbits/s
Bande passante restante : 28 500 Mbits/s