共用方式為


了解遠端網路連線能力

Global Secure Access 支援兩種連線選項:在終端使用者裝置上安裝用戶端,以及設定遠端網路,例如具有實體路由器的分支位置。 遠端網路連線能力可簡化終端使用者和來賓在不需安裝全球安全存取用戶端的情況下,從遠端網路連線的方式。

本文描述遠端網路連線能力的重要概念,以及很實用的常見案例。

什麼是遠端網路?

遠端網路是需要網際網路連線能力的遠端位置或網路。 例如,許多組織都有一個中央總部,並在不同地理區域內擁有分公司位置。 這些分公司需要存取公司資料和服務。 他們需要一種安全的方式來與資料中心、總部和遠端工作者通訊。 遠端網路的安全性對於許多類型的組織而言至關重要。

遠端網路 (例如分公司位置) 通常會透過專用的廣域網路 (WAN) 或虛擬私人網路 (VPN) 連線來連線到公司網路。 位於分公司位置的員工會使用客戶駐地設備 (CPE) 連線到網路。

目前面臨的遠端網路安全性挑戰

頻寬需求成長:需要網際網路存取的裝置數量呈現指數型增加。 傳統網路則難以調整。 隨著軟體即服務 (SaaS) 應用程式 (例如 Microsoft 365) 的出現,對於低延遲和無抖動通訊的需求不斷增加,而廣域網路 (WAN) 和多通訊協定標籤交換 (MPLS) 等傳統技術已難以滿足這類需求。

IT 小組成本高昂:一般而言,防火牆會放置於內部部署的實體裝置上,而這需要 IT 小組進行設定和維護。 在每個分公司位置保有 IT 小組的成本很高。

日新月異的威脅:惡意執行者正在尋找可攻擊網路邊緣裝置的新途徑。 位於分公司 (甚至家庭辦公室) 的邊緣裝置通常是最脆弱的攻擊點。

全球安全存取遠端網路連線能力如何運作?

若要將遠端網路連線到全球安全存取,您可以在內部部署設備與全球安全存取端點之間設定網際網路通訊協定安全性 (IPSec) 通道。 您指定的流量會透過 IPSec 通道路由傳送到最接近的全球安全存取端點。 您也可以在 Microsoft Entra 系統管理中心套用安全性原則。

全球安全存取的遠端網路連線能力提供遠端網路與全球安全存取服務之間的安全解決方案。 其不會提供遠端網路彼此之間的安全連線。 若要深入了解安全的遠端網路對遠端網路連線能力,請參閱 Azure 虛擬 WAN 文件

為什麼遠端網路連線能力對您很重要?

在遠端工作和分散式小組的世界中,維護公司網路的安全性越來越困難。 安全性服務邊緣 (SSE) 承諾打造一個安全的世界,讓客戶可從世界各地存取其公司資源,而不需將其流量回傳到總部。

常見的遠端網路連線能力案例

我不想在數千部內部部署的裝置上安裝用戶端。

一般而言,SSE 是透過在裝置上安裝用戶端來強制執行。 用戶端會建立通往最接近 SSE 端點的通道,並透過該通道路由傳送所有網際網路流量。 SSE 解決方案會檢查流量並強制執行安全性原則。 如果您的使用者不是行動型,且會以實體分公司位置為基礎,則適用於該分公司位置的遠端網路連線能力可省去在每個裝置上安裝用戶端的麻煩。 您可以透過在分公司的核心路由器與全球安全存取端點之間建立 IPSec 通道,來連線整個分公司位置。

我無法在組織擁有的所有裝置上安裝用戶端。

有時,用戶端無法安裝於所有裝置上。 全球安全存取目前提供適用於 Windows 的用戶端。 但是,內部部署且要將流量傳送到網際網路的 Linux、大型主機、相機、印表機及其他類型的裝置又該如何呢? 此流量仍需要受到監視和保護。 當您連線遠端網路時,可以針對來自該位置的所有流量設定原則,而不論裝置來源為何。

我的網路上有尚未安裝用戶端的來賓。

您網路上的來賓裝置可能尚未安裝用戶端。 為了確保那些裝置會遵守您的網路安全性原則,您需要其流量透過全球安全存取端點進行路由傳送。 遠端網路連線能力可以解決此問題。 來賓裝置上不需要安裝任何用戶端。 根據預設,來自遠端網路的所有連出流量都會經過安全性評估。

每個租戶將配置多少頻寬

您配置的頻寬總計取決於購買的授權數目。 每個Microsoft Entra ID P1 授權、Microsoft Entra Internet Access 授權,或 Microsoft Entra Suite 授權都會為您的總頻寬做出貢獻。 遠端網路的頻寬可指派給 IPsec 通道,增量為 250 Mbps、500 Mbps、750 Mbps 或 1000 Mbps。 此彈性可讓您根據特定需求,將頻寬配置到不同的遠端網路位置。 為了獲得最佳效能,Microsoft建議為每個位置至少設定兩個 IPsec 通道以獲得高可用性。 下表詳述根據所購買授權數目的總頻寬。

遠端網路頻寬配置

授權數量 總頻寬 (Mbps)
50 – 99 500 Mbps
100 – 499 1,000 Mbps
500 – 999 2,000 Mbps
1,000 – 1,499 3,500 Mbps
1,500 – 1,999 4,000 Mbps
2,000 – 2,499 4,500 Mbps
2,500 – 2,999 5,000 Mbps
3,000 – 3,499 5,500 Mbps
3,500 – 3,999 6,000 Mbps
4,000 – 4,499 6,500 Mbps
4,500 – 4,999 7,000 Mbps
5,000 – 5,499 10,000 Mbps
5,500 – 5,999 10,500 Mbps
6,000 – 6,499 11,000 Mbps
6,500 – 6,999 11,500 Mbps
7,000 – 7,499 12,000 Mbps
7,500 – 7,999 12,500 Mbps
8,000 – 8,499 13,000 Mbps
8,500 – 8,999 13,500 Mbps
9,000 – 9,499 14,000 Mbps
9,500 – 9,999 14,500 Mbps
一萬以上 35,000 Mbps +

表格註記

  • 使用遠端網路連線功能的授權數目下限為 50。
  • 授權數目等於購買的授權總數(Entra ID P1 + Entra Internet Access /Entra Suite)。 在 10,000 個授權之後,您每購買 500 個授權時,您會收到額外的 500 Mbps(例如 11,000 個授權 = 36,000 Mbps)。
  • 跨越10,000個授權門檻的組織通常需要在企業規模上運作,這需要更健全的基礎結構。 跳至 35,000 Mbps 可確保足夠的容量,以滿足這類部署的需求,支援較高的流量,並提供彈性來視需要擴充頻寬配置。
  • 如果需要更多頻寬,將可購買額外的頻寬。

租戶的分配頻寬範例:

承租人 1:

  • 1,000 Entra ID P1 授權許可
  • 已配置:1,000 個授權、3,500 Mbps

租戶 2:

  • 3,000 Entra ID P1 授權許可證
  • 3,000 個因特網存取授權
  • 已配置:6,000 個授權、11,000 Mbps

承租人 3:

  • 8,000 Entra ID P1 授權
  • 6,000 份 Entra Suite 授權
  • 已配置:14,000 個授權、39,000 Mbps

遠端網路的頻寬分配範例

租戶 1:

總頻寬:3,500 Mbps

分配:

  • 月臺 A:2 個 IPsec 通道:2 x 250 Mbps = 500 Mbps
  • 月臺 B:2 個 IPsec 通道:2 x 250 Mbps = 500 Mbps
  • 月臺 C:2 個 IPsec 通道:2 x 500 Mbps = 1,000 Mbps
  • 月臺 D:2 個 IPsec 通道:2 x 750 Mbps = 1,500 Mbps

剩餘頻寬:無

租戶 2:

總頻寬:11,000 Mbps

分配:

  • 月臺 A:2 個 IPsec 通道:2 x 250 Mbps = 500 Mbps
  • 月臺 B:2 個 IPsec 通道:2 x 500 Mbps = 1,000 Mbps
  • 月臺 C:2 個 IPsec 通道:2 x 750 Mbps = 1,500 Mbps
  • 月臺 D:2 個 IPsec 通道:2 x 1,000 Mbps = 2,000 Mbps
  • 月臺 E:2 個 IPsec 通道:2 x 1,000 Mbps = 2,000 Mbps

剩餘頻寬:4,000 Mbps

租戶 3:

總頻寬:39,000 Mbps

分配:

  • 月臺 A:2 個 IPsec 通道:2 x 250 Mbps = 500 Mbps
  • 月臺 B:2 個 IPsec 通道:2 x 500 Mbps = 1,000 Mbps
  • 月臺 C:2 個 IPsec 通道:2 x 750 Mbps = 1,500 Mbps
  • 月臺 D:2 個 IPsec 通道:2 x 750 Mbps = 1,500 Mbps
  • 月臺 E:2 個 IPsec 通道:2 x 1,000 Mbps = 2,000 Mbps
  • 月臺 F:2 個 IPsec 通道:2 x 1,000 Mbps = 2,000 Mbps
  • 月臺 G:2 個 IPsec 通道:2 x 1,000 Mbps = 2,000 Mbps

剩餘頻寬:28,500 Mbps

下一步