Implémentation du tunneling fractionné VPN pour Microsoft 365

Article
03/25/2025

Remarque

Cet article fait partie d’un ensemble d’articles qui traitent de l’optimisation de Microsoft 365 pour les utilisateurs distants ou lorsque vous implémentez des optimisations réseau qui impliquent un routage basé sur un préfixe IP pour contourner les points de congestion dans votre infrastructure réseau.

Pour obtenir une vue d’ensemble de l’utilisation du tunnel partagé VPN afin d’optimiser la connectivité Microsoft 365 pour les utilisateurs distants, consultez Vue d’ensemble : tunnel partagé VPN pour Microsoft 365.
Pour obtenir la liste détaillée des scénarios de tunnel partagé VPN, consultez Scénarios courants de tunneling partagé VPN pour Microsoft 365.
Pour obtenir des conseils sur la sécurisation du trafic multimédia Teams dans les environnements de tunneling fractionné VPN, consultez Sécurisation du trafic multimédia Teams pour le tunnel partagé VPN.
Pour plus d’informations sur la configuration des événements Stream et en direct dans des environnements VPN, consultez Considérations spéciales pour les Stream et les événements en direct dans les environnements VPN.
Pour plus d’informations sur l’optimisation des performances des locataires Microsoft 365 dans le monde pour les utilisateurs en Chine, consultez Optimisation des performances de Microsoft 365 pour les utilisateurs chinois.

Microsoft suggère une stratégie pour améliorer la connectivité rapidement et efficacement. Cela implique quelques étapes simples pour mettre à jour vos itinéraires réseau, ce qui permet à certains points de terminaison clés de contourner les serveurs VPN encombrés. En appliquant un modèle de sécurité similaire ou supérieur à différentes couches, il n’est pas nécessaire de sécuriser tout le trafic au point de sortie du réseau d’entreprise et vous pouvez router le trafic Microsoft 365 à l’aide de chemins réseau plus courts et plus efficaces. Cette opération peut généralement être effectuée en quelques heures et peut être mise à l’échelle vers plusieurs charges de travail Microsoft 365 en fonction des besoins.

Implémenter un tunnel partagé VPN

Dans cet article, vous trouverez les étapes simples nécessaires pour migrer votre architecture client VPN d’un tunnel VPN forcé vers un tunnel VPN forcé avec quelques exceptions approuvées, modèle de tunnel fractionné VPN #2 dans scénarios de tunnel partagé VPN courants pour Microsoft 365.

Le diagramme suivant illustre le fonctionnement de la solution de tunnel partagé VPN recommandée :

Détails de la solution VPN de tunnel partagé.

1. Identifier les points de terminaison à optimiser

Dans l’article URL et plages d’adresses IP Microsoft 365 , Microsoft identifie clairement les points de terminaison clés dont vous avez besoin pour optimiser et les catégorise comme Optimisé. Ce petit groupe de points de terminaison représente environ 70 % à 80 % du volume du trafic vers le service Microsoft 365, y compris les points de terminaison sensibles à la latence tels que ceux pour les médias Teams. Essentiellement, il s’agit du trafic que nous devons prendre particulièrement soin de et est également le trafic qui va mettre une pression incroyable sur les chemins réseau traditionnels et l’infrastructure VPN.

Les URL dans cette catégorie présentent les caractéristiques suivantes :

Les points de terminaison détenus et gérés par Microsoft sont-ils hébergés sur une infrastructure Microsoft
Avoir des adresses IP publiées dédiées à des services spécifiques
Faible taux de changement
Sont-ils sensibles au bande passante et/ou à la latence
Sont-ils en mesure d'avoir les éléments de sécurité requis fournis dans le service plutôt qu'en ligne sur le réseau
Comptez pour environ 70 à 80 % du volume du trafic vers le service Microsoft 365

Pour plus d’informations sur les points de terminaison Microsoft 365 et la façon dont ils sont classés et gérés, consultez Gestion des points de terminaison Microsoft 365.

Dans la plupart des cas, vous devez uniquement utiliser les points de terminaison d’URL dans un fichier PAC de navigateur où les points de terminaison sont configurés pour être envoyés directement, plutôt que vers le proxy. Si vous avez besoin uniquement des URL pour la catégorie Optimiser, utilisez la première requête ou la deuxième requête pour les préfixes IP.

Optimiser les URL

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.urls} | select -unique -ExpandProperty urls

Optimiser les plages d’adresses IP

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.ips} | select -unique -ExpandProperty ips

2. Implémentation du tunnel partagé pour les points de terminaison Microsoft 365

Maintenant que nous avons identifié ces points de terminaison critiques, nous devons les détourner du tunnel VPN et leur permettre d’utiliser la connexion Internet locale de l’utilisateur pour se connecter directement au service. La façon dont cela est effectué varie en fonction du produit VPN et de la plateforme de machine utilisés, mais la plupart des solutions VPN permettent une certaine configuration de la stratégie pour appliquer cette logique. Pour plus d’informations sur les recommandations de tunnels partagés spécifiques à la plateforme VPN, consultez Comment utiliser les guides d’utilisation pour les plateformes VPN courantes.

Si vous souhaitez tester la solution manuellement, vous pouvez exécuter l’exemple PowerShell suivant pour émuler la solution au niveau de la table d’itinéraires. Cet exemple ajoute un itinéraire pour chacun des sous-réseaux IP de média Teams dans la table des itinéraires. Vous pouvez tester les performances des médias Teams avant et après l’utilisation de l’outil d’évaluation réseau Teams et observer la différence dans les itinéraires pour les points de terminaison spécifiés.

Exemple : ajouter des sous-réseaux IP de média Teams dans la table des itinéraires

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = " 52.112.0.0/14, 52.122.0.0/15, 2603:1063::/38" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Dans le script précédent, $intIndex est l’index de l’interface connectée à Internet (recherchez en exécutant get-netadapter dans PowerShell ; recherchez la valeur de ifIndex) et $gateway est la passerelle par défaut de cette interface (recherchez en exécutant ipconfig dans une invite de commandes ou (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop dans PowerShell).

Une fois que vous avez ajouté les itinéraires, vous pouvez vérifier que la table d’itinéraires est correcte en exécutant impression d'itinéraire dans une invite de commandes ou dans PowerShell.

Pour ajouter des itinéraires pour toutes les plages d’adresses IP actuelles dans la catégorie Optimiser, vous pouvez utiliser la variante de script suivante pour interroger le service web d’ADRESSE IP et d’URL Microsoft 365 pour l’ensemble actuel de sous-réseaux d’optimisation IP et les ajouter à la table de routage.

Exemple : ajouter des sous-réseaux Optimiser dans la table des itinéraires

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Si vous avez ajouté par inadvertance des itinéraires avec des paramètres incorrects ou si vous souhaitez simplement annuler vos modifications, vous pouvez supprimer les itinéraires que vous venez d'ajouter avec la commande suivante :

foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Le client VPN doit être configuré de sorte que le trafic vers le Optimiser IPs soient acheminés de cette façon. Cela permet au trafic d’utiliser des ressources Microsoft locales telles que Microsoft 365 Service Front Door , comme Azure Front Door , qui fournit des services Microsoft 365 et des points de terminaison de connectivité aussi proches que possible de vos utilisateurs. Cela nous permet de fournir des niveaux de performances élevés aux utilisateurs où qu’ils se trouvent dans le monde et tire pleinement parti du réseau mondial de classe mondiale de Microsoft, qui est probablement à quelques millisecondes de la sortie directe de vos utilisateurs.

Guides d’utilisation pour les plateformes VPN courantes

Cette section fournit des liens vers des guides détaillés pour l’implémentation du tunneling fractionné pour le trafic Microsoft 365 à partir des partenaires les plus courants dans cet espace. Nous ajouterons d’autres guides dès qu’ils seront disponibles.