Implementieren von geteilten VPN-Tunneln für Microsoft 365
Hinweis
Dieser Artikel ist Teil einer Reihe von Artikeln, die sich mit der Microsoft 365-Optimierung für Remotebenutzer befassen oder wenn Sie Netzwerkoptimierungen implementieren, die IP-präfixbasiertes Routing umfassen, um Überlastungspunkte in Ihrer Netzwerkinfrastruktur zu umgehen.
- Eine Übersicht über die Verwendung des geteilten VPN-Tunnelings zur Optimierung der Microsoft 365-Konnektivität für Remotebenutzer finden Sie unter Übersicht: VPN Split Tunneling für Microsoft 365.
- Eine ausführliche Liste der Szenarien für geteilte VPN-Tunnel finden Sie unter Häufige Szenarien für geteilte VPN-Tunnel für Microsoft 365.
- Eine Anleitung zum Schützen des Teams-Mediendatenverkehrs in VPN Split Tunneling-Umgebungen finden Sie unter Schützen von Teams-Mediendatenverkehr für geteiltes VPN-Tunneling.
- Informationen zum Konfigurieren von Stream- und Liveereignissen in VPN-Umgebungen finden Sie unter Besondere Überlegungen für Stream und Liveereignisse in VPN-Umgebungen.
- Informationen zum Optimieren der leistung von Microsoft 365 weltweit für Benutzer in China finden Sie unter Microsoft 365-Leistungsoptimierung für China-Benutzer.
Microsoft schlägt eine Strategie vor, um die Konnektivität schnell und effizient zu verbessern. Dies umfasst einige einfache Schritte zum Aktualisieren Ihrer Netzwerkrouten, sodass bestimmte wichtige Endpunkte überlastete VPN-Server umgehen können. Durch anwenden eines ähnlichen oder besseren Sicherheitsmodells auf verschiedenen Ebenen ist es nicht erforderlich, den gesamten Datenverkehr am Ausgangspunkt des Unternehmensnetzwerks zu schützen, und Sie können Microsoft 365-Datenverkehr mithilfe kürzerer und effizienterer Netzwerkpfade weiterleiten. Dies kann in der Regel innerhalb von Stunden erfolgen und bei Bedarf auf mehrere Microsoft 365-Workloads skaliert werden.
Implementierung von VPN-Split-Tunneling
In diesem Artikel finden Sie die einfachen Schritte, die erforderlich sind, um Ihre VPN-Clientarchitektur von einem VPN-Erzwungenen Tunnel zu einem VPN-Erzwungenen Tunnel mit einigen vertrauenswürdigen Ausnahmen zu migrieren. VPN Split Tunnel Model 2 in Common VPN Split Tunneling scenarios for Microsoft 365 ( Common VPN Split Tunneling Scenarios for Microsoft 365).
Das folgende Diagramm veranschaulicht die Funktionsweise der empfohlenen LÖSUNG für geteilte VPN-Tunnel:
1. Ermitteln der zu optimierenden Endpunkte
Im Artikel Microsoft 365-URLs und IP-Adressbereiche identifiziert Microsoft die wichtigsten Endpunkte, die Sie optimieren müssen, und kategorisiert sie als Optimieren. Diese kleine Gruppe von Endpunkten macht etwa 70 % bis 80 % des Datenverkehrs an den Microsoft 365-Dienst aus, einschließlich der latenzempfindlichen Endpunkte, z. B. für Teams-Medien. Im Wesentlichen ist dies der Datenverkehr, auf den wir uns besonders kümmern müssen, und ist auch der Datenverkehr, der einen unglaublichen Druck auf herkömmliche Netzwerkpfade und VPN-Infrastruktur ausüben wird.
URLS in dieser Kategorie besitzen die folgenden Merkmale:
- Sind Endgeräte im Besitz Microsoft und Verwalteten Endpunkten, auf der Microsoft-Infrastruktur gehostet?
- Veröffentlichte IP-Adressen, die für bestimmte Dienste dediziert sind
- Geringe Änderungsrate
- Sind bandbreiten- und/oder latenzempfindlich
- Sind in der Lage, die erforderlichen Sicherheitselemente im Dienst und nicht inline im Netzwerk bereitzustellen
- Machen Sie etwa 70 bis 80 % des Datenverkehrsvolumens für den Microsoft 365-Dienst aus.
Weitere Informationen zu Microsoft 365-Endpunkten und deren Kategorisierung und Verwaltung finden Sie unter Verwalten von Microsoft 365-Endpunkten.
In den meisten Fällen sollten Sie nur URL-Endpunkte in einer Browser-PAC-Datei verwenden müssen, wobei die Endpunkte so konfiguriert sind, dass sie nicht an den Proxy, sondern direkt gesendet werden. Wenn Sie nur die URLs für die Kategorie Optimize benötigen, verwenden Sie die erste Abfrage oder die zweite Abfrage für IP-Präfixe.
Optimieren der URLs
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.urls} | select -unique -ExpandProperty urls
Optimieren der IP-Adressbereiche
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.ips} | select -unique -ExpandProperty ips
2. Implementieren eines geteilten Tunnels für Microsoft 365-Endpunkte
Nun, da wir diese kritischen Endpunkte identifiziert haben, müssen wir sie vom VPN-Tunnel ablenken und ihnen erlauben, die lokale Internetverbindung des Benutzers zu nutzen, um sich direkt mit dem Dienst zu verbinden. Die Art und Weise, wie dies erreicht wird, hängt vom verwendeten VPN-Produkt und der verwendeten Computerplattform ab, aber die meisten VPN-Lösungen ermöglichen eine Konfiguration der Richtlinie, um diese Logik anzuwenden. Informationen zur plattformspezifischen Anleitung für geteilte Tunnel finden Sie in den HOWTO-Leitfäden für gängige VPN-Plattformen.
Wenn Sie die Lösung manuell testen möchten, können Sie das folgende PowerShell-Beispiel ausführen, um die Lösung auf der Ebene der Routingtabelle zu emulieren. In diesem Beispiel wird eine Route für jedes Subnetz des Teams Media IP in die Routingtabelle eingefügt. Sie können die Leistung von Teams-Medien vor und nach dem Verwenden des Teams-Netzwerkbewertungstools testen und die Unterschiede bei den Routen für die angegebenen Endpunkte beobachten.
Beispiel: Hinzufügen von Teams Medien-IP-Subnetzen in der Routingtabelle
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = " 52.112.0.0/14, 52.122.0.0/15, 2603:1063::/38" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
Im obigen Skript ist $intIndex der Index der mit dem Internet verbundenen Schnittstelle (suchen Sie durch Ausführen von get-netadapter in PowerShell; suchen Sie nach dem Wert von ifIndex), und $gateway ist das Standardgateway dieser Schnittstelle (suchen Sie durch Ausführen von ipconfig in einer Eingabeaufforderung oder (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop in PowerShell).
Nachdem Sie die Routen hinzugefügt haben, können Sie bestätigen, dass die Routentabelle korrekt ist, indem Sie den Route Print in einer Eingabeaufforderung oder in PowerShell ausführen.
Um Routen für alle aktuellen IP-Adressbereiche in der Kategorie Optimieren hinzuzufügen, können Sie die folgende Skriptvariation verwenden, um den Microsoft 365-IP- und URL-Webdienst nach dem aktuellen Satz optimieren von IP-Subnetzen abzufragen und sie der Routingtabelle hinzuzufügen.
Beispiel: Hinzufügen aller Optimieren-Subnetze in die Routingtabelle
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
Wenn Sie versehentlich Routen mit falschen Parametern hinzugefügt haben oder einfach nur Ihre Änderungen rückgängig machen wollen, können Sie die soeben hinzugefügten Routen mit dem folgenden Befehl entfernen:
foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
Der VPN-Client sollte so konfiguriert werden, dass der Datenverkehr zu den Optimieren-IPs auf diese Weise geleitet wird. Dadurch kann der Datenverkehr lokale Microsoft-Ressourcen wie Microsoft 365 Service Front Doors wie Azure Front Door nutzen, die Microsoft 365-Dienste und Konnektivitätsendpunkte so nah wie möglich an Ihre Benutzer liefert. Dies ermöglicht es uns, Benutzern überall auf der Welt ein hohes Leistungsniveau zu bieten, und nutzen das weltweit erstklassige Netzwerk von Microsoft, das wahrscheinlich innerhalb weniger Millisekunden nach dem direkten Ausgehenden Datenverkehr Ihrer Benutzer liegt.
HOWTO-Leitfäden für gängige VPN-Plattformen
Dieser Abschnitt enthält Links zu detaillierten Leitfäden zur Implementierung von geteiltem Tunneling für Microsoft 365-Datenverkehr von den gängigsten Partnern in diesem Bereich. Wir fügen weitere Leitfäden hinzu, sobald sie verfügbar sind.
- Windows 10 VPN-Client: Optimieren des Microsoft 365-Datenverkehrs für Remotemitarbeiter mit dem nativen Windows 10 VPN-Client
- Cisco AnyConnect: Optimieren des AnyConnect-Split-Tunnels für Office365
- Palo Alto GlobalProtect: Optimieren von Microsoft 365-Datenverkehr über vpn split tunnel Exclude Access Route
- F5 Networks BIG-IP APM: Optimieren des Microsoft 365-Datenverkehrs beim Remotezugriff über VPNs bei Verwendung von BIG-IP APM
- Citrix Gateway: Optimiere Citrix Gateway VPN Split-Tunnel für Office365
- Pulse Secure: VPN Tunneling: Konfigurieren des geteilten Tunnelings zum Ausschließen von Microsoft 365-Anwendungen
- Check Point VPN: Konfigurieren von Split Tunnel für Microsoft 365 und andere SaaS-Anwendungen
Verwandte Artikel
Übersicht: Geteiltes VPN-Tunneling für Microsoft 365
Häufige Szenarien für geteilte VPN-Tunnel für Microsoft 365
Schützen des Teams-Mediendatenverkehrs für geteilte VPN-Tunnel
Besondere Überlegungen zu Stream- und Liveereignissen in VPN-Umgebungen
Microsoft 365-Leistungsoptimierung für China-Benutzer
Prinzipien von Microsoft 365-Netzwerkverbindungen
Bewerten der Microsoft 365-Netzwerkkonnektivität
Microsoft 365-Netzwerk- und Leistungsoptimierung
Betrieb über VPN: Wie Microsoft seine Remotemitarbeitern in Verbindung hält