Pour déployer un service VMware Secure Access à l'aide de SASE Orchestrator :

Conditions préalables

  • Assurez-vous que vous avez effectué la configuration requise sur Workspace ONE UEM. Pour plus d'informations, reportez-vous à la section Prise en main du déploiement de VMware Secure Access.
  • Assurez-vous que vous disposez du nombre maximal de points de présence (Points of Presence, PoPs) pour Secure Access dans SASE Orchestrator. Le nombre maximal dépend du nombre de VMware SASE PoP déployés sur SASE Orchestrator. Pour définir le nombre maximal de PoP, accédez à Configurer (Configure) > Client (Customer) > Configuration du client (Customer Configuration) > Accès au service (Service Access).

Procédure

  1. Connectez-vous à SASE Orchestrator en tant qu'utilisateur d'entreprise, puis cliquez sur Ouvrir la nouvelle interface utilisateur d'Orchestrator (Open New Orchestrator UI).
  2. Dans la fenêtre contextuelle modale Nouvelle interface utilisateur d'Orchestrator (New Orchestrator UI) qui s'affiche, cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator UI).
  3. Dans la liste déroulante SD-WAN des applications d'entreprise (Enterprise Applications SD-WAN), sélectionnez Secure Access.
  4. Sur la page Secure Access qui s'affiche, cliquez sur + Nouveau service (+ New Service).
    L'assistant Accès distant (Remote Access) s'affiche.
  5. Dans l'écran Configuration UEM (UEM Configuration) de l'assistant Accès distant (Remote Access), effectuez les configurations suivantes :
    1. Dans le champ Nom DNS (DNS Name), entrez le nom d'hôte que vous avez fourni lors de la configuration du tunnel Workspace ONE UEM. Reportez-vous à l'étape 4 de la section Prise en main du déploiement de VMware Secure Access.
    2. Dans le champ URL UEM (UEM URL), entrez l'URL de l'API Workspace ONE UEM liée à votre environnement UEM.
    3. Dans le champ ID du groupe d'organisations UEM (UEM Org Group ID), entrez l'identifiant du groupe d'organisations que vous avez créé lors de la configuration de Workspace ONE UEM. Reportez-vous à l'étape 1 de la section Prise en main du déploiement de VMware Secure Access.
    4. Dans la section Informations d'identification UEM WS1 (WS1 UEM Credentials), entrez le nom d'utilisateur et le mot de passe que vous aviez configurés lors de la création du compte d'administrateur dans Workspace ONE UEM Console. Reportez-vous à l'étape 2 de la section Prise en main du déploiement de VMware Secure Access.
    5. Cochez la case Oui (Yes) pour configurer le nom d'hôte du tunnel UEM dans le groupe d'organisations que vous aviez créé.
    6. Cliquez sur Vérifier (Check).
      Un appel d'API est effectué au serveur UEM pour valider les informations entrées. Une fois la validation réussie, cliquez sur Suivant (Next).
  6. Dans l'écran Paramètres d'entreprise et de réseau (Enterprise and Network settings) de l'assistant Accès distant (Remote Access), effectuez les configurations suivantes :
    1. Dans la liste déroulante Serveur DNS d'entreprise (Enterprise DNS Server), sélectionnez le serveur DNS requis configuré pour l'entreprise. La valeur par défaut est Google ou OpenDNS.
    2. Dans la liste Segment SD-WAN (SD WAN Segment), sélectionnez le segment requis pour lequel vous souhaitez activer le service Secure Access. La valeur par défaut est Segment global (Global Segment).
    3. Dans la section Plages d'adresses IP d'entreprise (Enterprise IP Ranges), entrez les informations suivantes :
      • Sous-réseau du client (Customer Subnet) : il s'agit d'un sous-réseau dont le client est propriétaire et qui sera utilisé par les utilisateurs distants lors de l'accès au réseau. Ce sous-réseau du client fonctionne comme un super réseau qui sera divisé et distribué entre autant de PoP SASE que l'utilisateur a configurés pour son déploiement (jusqu'à cinq PoP SASE peuvent être configurées).
      • Bits de sous-réseau (Subnet Bits) : configurez entre 1 et 3 Bits de sous-réseau pour diviser le sous-réseau du client en sous-réseaux individuels pouvant être alloués aux PoP.
      Le tableau suivant illustre la relation entre le sous-réseau du client et les bits de sous-réseau :
      Sous-réseau du client (Customer Subnet) Bits de sous-réseau (Subnet Bits) Nombre de sous-réseaux (Number of Subnets) Sous-réseau par PoP (Subnet per PoP)
      10.10.1.0/24 1 2
      • 10.10.1.0/25
      • 10.10.1.128/25
      10.10.1.0/24 2 4
      • 10.10.1.0/26
      • 10.10.1.64/26
      • 10.10.1.128/26
      • 10.10.1.192/26
      10.10.1.0/24 3 8
      • 10.10.1.0/27
      • 10.10.1.32/27
      • 10.10.1.64/27
      • 10.10.1.96/27
      • 10.10.1.128/27
      • 10.10.1.160/27
      • 10.10.1.192/27
      • 10.10.1.224/27
      Le nombre de bits de sous-réseau choisis détermine le nombre de sous-réseaux qui seront créés à partir du sous-réseau du client. Comme indiqué dans le tableau ci-dessus, si vous configurez :
      • Un bit de sous-réseau, le sous-réseau du client est divisé en deux sous-réseaux, qui peuvent être attribués à deux PoP.
      • Deux bits de sous-réseau, le sous-réseau du client est divisé en quatre sous-réseaux, qui peuvent être attribués à quatre PoP.
      • Trois bits de sous-réseau, le sous-réseau du client est divisé en huit sous-réseaux, qui peuvent être attribués à cinq PoP, et trois sous-réseaux resteront non alloués.

      Le diagramme suivant décrit la relation entre le sous-réseau du client et les bits de sous-réseau :

    4. Cliquez sur Suivant (Next).
  7. Dans l'écran Sélection PoP (PoP Selection) de l'assistant Accès distant (Remote Access), dans la liste déroulante Instance(s) sélectionnée(s) [Selected Instance(s)], sélectionnez l'emplacement PoP auquel le serveur de tunnel sera instancié. Cliquez sur Suivant (Next).
  8. Dans l'écran Sécurité supplémentaire (facultatif) [Additional Security (optional)] de l'assistant Accès distant (Remote Access), vous pouvez choisir d'activer Cloud Web Security sur Secure Access.
    Si Cloud Web Security est activé, assurez-vous qu'une règle de contournement/d'exemption de l'inspection SSL (Secure Socket Layer) est créée dans la stratégie CWS sous la section Inspection SSL (SSL Inspection). Le comportement par défaut de l'inspection SSL consiste à déchiffrer tout le trafic chiffré. La création de règles SSL est décrite en détail dans le Guide de configuration de Cloud Web Security. La règle couvre le trafic de destination envoyé au domaine awmdm.com et s'assure que CWS ne déchiffre pas ce trafic. Cliquez sur Suivant (Next).
  9. Dans l'écran Nom, Description, Balises (Name, Description, Tags) de l'assistant Accès distant (Remote Access), entrez le nom du service Secure Access et ajoutez des balises ou une description, si nécessaire, puis cliquez sur Terminer (Finish).

Résultats

La mise en ligne du serveur tunnel et l'établissement de la connectivité au PoP SASE peuvent prendre quelques minutes. L'état des déploiements indique En cours (In Progress) pendant le provisionnement. Actualisez la page pour vérifier l'état. Une fois le serveur de tunnel établi, l'état du déploiement indique Terminé (Completed).

Reportez-vous au tableau ci-dessous pour obtenir une description des titres de colonne d'un service Secure Access.

Que faire ensuite

Vous devez inscrire vos périphériques avec l'application Workspace ONE Intelligent Hub. Reportez-vous à la section Inscrire des périphériques dans Workspace ONE Intelligent Hub.

Modifier et mettre à jour les services de tunnel

Modifier ou supprimer un service Secure Access

Après avoir créé un service à l'aide des étapes décrites dans la section précédente, vous pouvez Modifier (Edit), Supprimer (Delete) ou Redémarrer (Restart) le service. Sélectionnez le service que vous souhaitez modifier ou supprimer en cochant la case en regard du Nom du service (Service Name). Cliquez sur Modifier (Edit) pour apporter des modifications à la boîte de dialogue Configuration de Workspace ONE UEM (Workspace ONE UEM Configuration). Cliquez sur Supprimer (Delete) pour supprimer le service Secure Access.

Redémarrer le service Secure Access

La fonctionnalité Redémarrer (Restart) de l'écran Stratégies de Secure Access (Secure Access Policies), met à jour la version du serveur de tunnel UEM que le client utilise vers la dernière version, qui inclut d'autres correctifs de bogues et la fonctionnalité de gestion des journaux. Lors de la mise à jour du serveur de tunnel UEM, les utilisateurs seront momentanément déconnectés par lots, puis reconnectés automatiquement. Une fois ce processus terminé, les journaux utilisateur sont visibles sous Surveiller (Monitor) > Journaux (Logs) > Journaux Secure Access (Secure Access Logs) sur le portail d'entreprise Secure Access.

Pour redémarrer le service Secure Access, cochez la case en regard du nom du service approprié, puis cliquez sur Redémarrer (Restart).

Étape suivante (What to do next) :

Affichez les journaux Secure Access sous Surveiller (Monitor) > Journaux (Logs) > Journaux Secure Access (Secure Access Logs) dans le portail d'entreprise Secure Access.