Protezione del traffico dei contenuti multimediali di Teams per lo split tunneling per VPN
Nota
Questo articolo fa parte di un set di articoli che riguardano l'ottimizzazione di Microsoft 365 per gli utenti remoti.
- Per una panoramica sull'uso del split tunneling VPN per ottimizzare la connettività di Microsoft 365 per gli utenti remoti, vedere Panoramica: split tunneling VPN per Microsoft 365.
- Per indicazioni dettagliate sull'implementazione del split tunneling VPN, vedere Implementazione del tunneling split VPN per Microsoft 365.
- Per un elenco dettagliato degli scenari di split tunneling VPN, vedere Scenari comuni di split tunneling VPN per Microsoft 365.
- Per informazioni su come configurare eventi Stream ed eventi live negli ambienti VPN, vedere Considerazioni speciali per Stream ed eventi live negli ambienti VPN.
- Per informazioni sull'ottimizzazione delle prestazioni dei tenant di Microsoft 365 in tutto il mondo per gli utenti in Cina, vedere Ottimizzazione delle prestazioni di Microsoft 365 per gli utenti cinesi.
Alcuni amministratori di Microsoft Teams potrebbero richiedere informazioni dettagliate sul funzionamento dei flussi di chiamata in Teams usando un modello di split tunneling e sulla modalità di protezione delle connessioni.
Configurazione
Sia per le chiamate che per le riunioni, purché le subnet IP di Optimize necessarie per i supporti di Teams siano posizionate correttamente nella tabella di route, quando Teams chiama la funzione GetBestRoute per determinare quale interfaccia locale corrisponde alla route che deve usare per una destinazione specifica, l'interfaccia locale verrà restituita per le destinazioni Microsoft nei blocchi IP Microsoft elencati sopra.
Alcuni software client VPN consentono di modificare il routing in base all'URL. Tuttavia, il traffico multimediale di Teams non ha alcun URL associato, quindi il controllo del routing per questo traffico deve essere eseguito con subnet IP.
In alcuni scenari, spesso non correlati alla configurazione del client Teams, il traffico multimediale continua ad attraversare il tunnel VPN anche con le route corrette applicate. Se si verifica questo scenario, l'uso di una regola del firewall per impedire alle porte o alle subnet IP di Teams di usare la VPN dovrebbe essere sufficiente.
Importante
Per assicurarsi che il traffico multimediale di Teams venga instradato tramite il metodo desiderato in tutti gli scenari VPN, assicurarsi che gli utenti eseguano la versione client di Microsoft Teams 1.3.00.13565 o successiva. Questa versione include miglioramenti nel modo in cui il client rileva i percorsi di rete disponibili.
Il traffico di segnalazione viene eseguito tramite HTTPS e non è sensibile alla latenza come il traffico multimediale ed è contrassegnato come Consenti nei dati URL/IP e quindi può essere instradato in modo sicuro attraverso il client VPN, se lo si desidera.
Nota
Microsoft Edge 96 e versioni successive supporta anche lo split tunneling VPN per il traffico peer-to-peer. Ciò significa che i clienti possono ottenere il vantaggio del tunneling di divisione VPN per i client Web di Teams in Edge, ad esempio. I clienti che vogliono configurarlo per i siti Web in esecuzione in Edge possono ottenerlo eseguendo il passaggio aggiuntivo di disabilitazione del criterio Edge WebRtcRespectOsRoutingTableEnabled .
Sicurezza
Un argomento comune per evitare split tunnel è che è meno sicuro farlo, vale a dire che qualsiasi traffico che non passa attraverso il tunnel VPN non trarrà vantaggio da qualsiasi schema di crittografia applicato al tunnel VPN ed è quindi meno sicuro.
D'altra parte il traffico multimediale è già crittografato tramite il protocollo di controllo per RTP sicuro (SRTP), un profilo RTP che garantisce riservatezza, autenticazione e la protezione da attacchi replay al traffico RTP. SRTP si basa su una chiave della sessione generata casualmente, che viene scambiata tramite il canale di segnalazione sicuro TLS. L'argomento è ampiamente trattato in questa guida sulla sicurezza, tuttavia la sezione di maggiore interesse è la crittografia multimediale.
Il traffico multimediale viene crittografato con SRTP, che usa una chiave della sessione generata da un generatore di numeri casuale e scambiata tramite il canale di segnalazione TLS. Inoltre, il flusso multimediale in entrambe le direzioni tra Mediation Server e il successivo hop interno è anche crittografato tramite SRTP.
Skype for Business Online genera nome utente/password per l'accesso sicuro ai relay multimediali attraverso il protocollo Traversal Using Relays around NAT (TURN). I relay dei file multimediali scambiano nome utente/password su un canale SIP protetto da TLS. Vale la pena notare che, anche se è possibile usare un tunnel VPN per connettere il client alla rete aziendale, il traffico deve comunque scorrere nel formato SRTP quando lascia la rete aziendale per raggiungere il servizio.
Informazioni su come Teams attenua i problemi di sicurezza comuni, ad esempio gli attacchi di amplificazione delle utilità di attraversamento della sessione per NAT (STUN) sono disponibili in Considerazioni sulla sicurezza per gli implementatori 5.1.
Informazioni sui moderni controlli di sicurezza negli scenari di lavoro remoto nella pagina Modi alternativi per i professionisti della sicurezza e l'IT per ottenere moderni controlli di sicurezza nei particolari scenari odierni di lavoro remoto (blog del team di sicurezza di Microsoft)
Test
Una volta che i criteri sono stati applicati, è necessario confermare che funziona come previsto. Esistono diversi modi per verificare se il percorso è impostato correttamente per l'uso della connessione Internet locale:
Eseguire il test di connettività di Microsoft 365 che eseguirà i test di connettività, incluse le route di traccia come indicato in precedenza. In questo strumento verranno aggiunti anche test VPN che dovrebbero fornire informazioni dettagliate aggiuntive.
Un semplice tracert a un endpoint all'interno dell'ambito del tunnel diviso deve mostrare il percorso intrapreso, ad esempio:
tracert worldaz.tr.teams.microsoft.comVerrà quindi visualizzato un percorso tramite l'ISP locale a questo endpoint che deve essere risolto in un indirizzo IP negli intervalli di Teams configurati per il tunneling diviso.
Effettuare un'acquisizione di rete utilizzando uno strumento come Wireshark. Filtrare su UDP durante una chiamata per vedere il traffico che fluisce verso un IP nell'intervallo Optimize di Teams. Se il tunnel VPN viene usato per questo traffico, il traffico multimediale non sarà visibile nella traccia.
Altri log di supporto
Se servono altre informazioni per la risoluzione dei problemi o per richiede l'assistenza del supporto Microsoft, è possibile ottenere le informazioni seguenti per accelerare l'individuazione di una soluzione. Il set di strumenti TSS Windows PowerShell universal TroubleShooting Script basato sul supporto tecnico Microsoft consente di raccogliere i log pertinenti in modo semplice. Lo strumento e le istruzioni sull'uso sono disponibili scaricando TSS.zip qui e altre informazioni in Introduction to TroubleShootingScript toolset (TSS) . The tool and instructions on use can be found can be found by download TSS.zip here, and additional information at Introduction to TroubleShootingScript toolset (TSS) .
Articoli correlati
Panoramica: split tunneling VPN per Microsoft 365
Implementazione del split tunneling VPN per Microsoft 365
Scenari comuni di split tunneling VPN per Microsoft 365
Considerazioni speciali per Stream ed eventi live negli ambienti VPN
Ottimizzazione delle prestazioni di Microsoft 365 per gli utenti cinesi
Principi della connettività di rete di Microsoft 365
Valutazione della connettività di rete di Microsoft 365
Ottimizzazione della rete e delle prestazioni di Microsoft 365
Esecuzione del servizio VPN: la soluzione Microsoft per mantenere connessa la forza lavoro remota