Para implementar o serviço VMware Secure Access utilizando o SASE Orchestrator:

Pré-requisitos

  • Certifique-se de que concluiu a configuração necessária no Workspace ONE UEM. Para obter mais detalhes, consulte Começar a implementar o VMware Secure Access.
  • Certifique-se de que definiu o número máximo de PoPs para o Secure Access no SASE Orchestrator. O número máximo depende do número de VMware SASE PoPs implementados no SASE Orchestrator. Para definir o número máximo de PoPs, aceda a Configurar > Cliente > Configuração do cliente > Acesso ao serviço (Configure > Customer > Customer Configuration > Service Access).

Procedimento

  1. Inicie sessão no SASE Orchestrator como utilizador empresarial e, em seguida, clique em Abrir nova IU Orchestrator (Open New Orchestrator UI).
  2. No pop-up modal Nova IU do Orchestrator (New Orchestrator UI) apresentado, clique em Lançamento de nova IU do Orchestrator (Launch New Orchestrator UI).
  3. Na lista pendente SD-WAN de aplicações empresariais, selecione Secure Access.
  4. Na página Secure Access apresentada, clique em + Novo serviço (New Service).
    É apresentado o assistente Acesso remoto (Remote Access).
  5. No ecrã Configuração do UEM (UEM Configuration) do assistente Acesso remoto (Remote Access), proceda às seguintes configurações:
    1. No campo Nome DNS (DNS Name), introduza o nome de anfitrião que forneceu quando configurou o túnel do Workspace ONE UEM. Consulte o passo 4 em Começar a implementar o VMware Secure Access.
    2. No campo URL do UEM (UEM URL), introduza o URL da API do Workspace ONE UEM relativo ao seu ambiente UEM.
    3. No campo ID do grupo da Org. do UEM (UEM Org Group ID), introduza o identificador do grupo de organizações que criou durante a configuração do Workspace ONE UEM. Consulte o passo 1 em Começar a implementar o VMware Secure Access.
    4. Na secção Credenciais do WS1 UEM (WS1 UEM Credentials), introduza o nome de utilizador e a palavra-passe que configurou quando criou a conta de administrador no Workspace ONE UEM console. Consulte o passo 2 em Começar a implementar o VMware Secure Access.
    5. Selecione a caixa de verificação Sim (Yes) para configurar o nome de anfitrião do túnel UEM dentro do grupo de organizações que criou.
    6. Clique em Verificar (Check).
      É efetuada uma chamada à API para o servidor UEM validar os dados introduzidos. Quando a validação for bem sucedida, clique em Seguinte (Next).
  6. No ecrã Definições da empresa e da rede (Enterprise and Network settings) do assistente Acesso remoto (Remote Access), conclua as seguintes configurações:
    1. Na lista pendente Servidor DNS da empresa (Enterprise DNS Server), selecione o servidor DNS configurado para a empresa. Por predefinição, é Google ou OpenDNS.
    2. Na lista pendente Segmento de SD-WAN (SD WAN Segment), selecione o segmento necessário para o qual pretende ativar o serviço Secure Access. Por predefinição, é Segmento global (Global Segment).
    3. Na secção Intervalos de IP da empresa (Enterprise IP Ranges), introduza os seguintes detalhes:
      • Sub-rede de cliente (Customer Subnet) – trata-se de uma sub-rede detida pelo cliente que será utilizada pelos utilizadores remotos quando acedem à rede. Esta sub-rede de cliente funciona como uma superrede que será dividida e distribuída entre tantos SASE PoPs quanto o utilizador tenha configurado para a implementação (podem ser configurados até cinco PoPs).
      • Bits de sub-rede (Subnet Bits) – configure de 1 a 3 bits de sub-rede para dividir a sub-rede de cliente em sub-redes individuais que podem ser alocadas aos PoPs.
      A tabela seguinte ilustra a relação entre a sub-rede de cliente e os bits de sub-rede:
      Sub-rede de cliente Bits de sub-rede Número de sub-redes Sub-rede por PoP
      10.10.1.0/24 1 2
      • 10.10.1.0/25
      • 10.10.1.128/25
      10.10.1.0/24 2 4
      • 10.10.1.0/26
      • 10.10.1.64/26
      • 10.10.1.128/26
      • 10.10.1.192/26
      10.10.1.0/24 3 8
      • 10.10.1.0/27
      • 10.10.1.32/27
      • 10.10.1.64/27
      • 10.10.1.96/27
      • 10.10.1.128/27
      • 10.10.1.160/27
      • 10.10.1.192/27
      • 10.10.1.224/27
      O número de bits de sub-rede escolhido determina o número de sub-redes que serão criadas a partir da sub-rede de cliente. Como indicado na tabela acima, se configurar:
      • Um bit de sub-rede, a sub-rede de cliente será dividida em duas sub-redes, que poderão ser atribuídas a dois PoPs.
      • Dois bits de sub-rede, a sub-rede de cliente será dividida em quatro sub-redes, que poderão ser atribuídas a quatro PoPs.
      • Três bits de sub-rede, a sub-rede de cliente será dividida em oito sub-redes, que poderão ser atribuídas a um máximo de cinco PoPs e três sub-redes permanecerão por atribuir.

      O diagrama seguinte ilustra a relação entre a sub-rede de cliente e os bits de sub-rede:

    4. Clique em Seguinte (Next).
  7. No ecrã Seleção de PoP (PoP Selection) do assistente Acesso remoto (Remote Access), na lista Instância(s) selecionada(s) [Selected Instance(s)], selecione a localização do PoP onde o servidor do túnel será instanciado. Clique em Seguinte (Next).
  8. No ecrã Segurança adicional (opcional) [Additional Security (optional)] do assistente Acesso remoto (Remote Access), pode optar por ativar o Cloud Web Security no Secure Access.
    Se o Cloud Web Security estiver ativado, certifique-se de que é criada uma Regra Ignorar/Isenção a Inspeção SSL (Secure Socket Layer) na Política CWS na secção Inspeção SSL. Por predefinição, o comportamento da Inspeção SSL é desencriptar todo o tráfego encriptado. A criação de regras SSL é detalhada no Guia de configuração do Cloud Web Security. A regra abrange o tráfego de destino enviado para o domínio awmdm.com e garante que o CWS não desencripta este tráfego. Clique em Seguinte (Next).
  9. No ecrã Nome, descrição, etiquetas (Name, Description, Tags) do assistente Acesso remoto (Remote Access), introduza o nome do serviço Secure Access e adicione quaisquer etiquetas ou descrição, se necessário, e clique em Concluir (Finish).

Resultados

Podem ser necessários alguns minutos para colocar o servidor do túnel online e estabelecer a conetividade com o SASE PoP. O estado da implementação apresenta-se como Em curso (In Progress) enquanto o aprovisionamento estiver a decorrer. Atualize a página para verificar o estado. Uma vez estabelecido o servidor do túnel, o estado da implementação apresenta-se como Concluído (Completed).

Consulte a tabela abaixo para obter uma descrição dos títulos da coluna para o serviço Secure Access.

Como proceder a seguir

Tem de registar os dispositivos na aplicação Workspace ONE Intelligent Hub. Consulte Registar dispositivos no Workspace ONE Intelligent Hub.

Modificar e atualizar serviços de túnel

Editar ou eliminar um serviço Secure Access

Após criar um novo serviço com os passos descritos na secção anterior, pode Editar (Edit), Eliminar (Delete) ou Reiniciar (Restart) o serviço. Selecione o serviço que deseja editar ou eliminar clicando na caixa de verificação ao lado do Nome do serviço (Service Name). Clique em Editar (Edit) para fazer alterações na caixa de diálogo Configuração do Workspace ONE UEM. Clique em Eliminar (Delete) para eliminar o Serviço Secure Access.

Reiniciar o Serviço Secure Access

A funcionalidade Reiniciar (Restart) no ecrã Políticas do Secure Access (Secure Access Policies) atualiza a versão do servidor do túnel UEM que o cliente está a utilizar para a versão mais recente, que inclui mais correções de erros e a funcionalidade de gestão de registos. Durante a atualização do servidor do túnel UEM, os utilizadores serão, momentaneamente, desligados em lotes e, em seguida, ligados novamente automaticamente. Após a conclusão deste processo, os registos do utilizador podem ser visualizados através de Monitorizar > Registos > Registos do Secure Access (Monitor > Logs > Secure Access Logs) no portal de empresa do Secure Access.

Para reiniciar o Serviço Secure Access, clique na caixa de verificação ao lado do respetivo nome do serviço e clique em Reiniciar (Restart).

O que fazer a seguir:

Veja os registos do Secure Access através de Monitorizar > Registos > Registos do Secure Access (Monitor > Logs > Secure Access Logs) no portal de empresa do Secure Access.