Microsoft 365 の VPN 分割トンネリングの実装
注:
この記事は、リモート ユーザー向けの Microsoft 365 の最適化に対処する記事のセットの一部です。または、ネットワーク インフラストラクチャの輻輳ポイントをバイパスするために IP プレフィックス ベースのルーティングを含むネットワーク最適化を実装する場合です。
- VPN 分割トンネリングを使用してリモート ユーザーの Microsoft 365 接続を最適化する方法の概要については、「 概要: Microsoft 365 の VPN 分割トンネリング」を参照してください。
- VPN 分割トンネリング シナリオの詳細な一覧については、「 Microsoft 365 の一般的な VPN 分割トンネリング シナリオ」を参照してください。
- VPN 分割トンネリング環境での Teams メディア トラフィックのセキュリティ保護に関するガイダンスについては、「 VPN 分割トンネリングのための Teams メディア トラフィックのセキュリティ保護」を参照してください。
- VPN 環境でStreamイベントとライブ イベントを構成する方法については、「VPN 環境でのStreamイベントとライブ イベントに関する特別な考慮事項」を参照してください。
- 中国のユーザー向けの Microsoft 365 ワールドワイド テナント パフォーマンスの最適化の詳細については、「中国 ユーザー向けの Microsoft 365 パフォーマンスの最適化」を参照してください。
Microsoft は、接続を迅速かつ効率的に改善するための戦略を提案しています。 これには、ネットワーク ルートを更新する簡単な手順がいくつか含まれており、特定のキー エンドポイントで混雑した VPN サーバーをバイパスできます。 類似またはより優れたセキュリティ モデルを異なるレイヤーに適用することで、企業ネットワークの出口ポイントですべてのトラフィックをセキュリティで保護する必要はなく、より短く効率的なネットワーク パスを使用して Microsoft 365 トラフィックをルーティングできます。 これは通常、数時間以内に実行でき、必要に応じて複数の Microsoft 365 ワークロードにスケーリングできます。
スプリット トンネル VPN の実装
この記事では、Microsoft 365 の一般的な VPN 分割トンネリング シナリオで、VPN クライアント アーキテクチャを VPN 強制トンネルから VPN 強制トンネルに移行するために必要な簡単な手順について説明します。いくつかの信頼された例外がある VPN 分割トンネル モデル #2 です。
次の図は、推奨される VPN 分割トンネル ソリューションのしくみを示しています。
1. 最適化するエンドポイントを決める
Microsoft 365 URL と IP アドレス範囲に関する記事では、最適化に必要なキー エンドポイントを明確に特定し、それらを最適化として分類します。 この小規模なエンドポイント グループは、Teams メディアなどの待機時間の影響を受けやすいエンドポイントを含め、Microsoft 365 サービスへのトラフィック量の約 70% から 80% を占めます。 基本的にこれは、特別な注意を払う必要があるトラフィックであり、従来のネットワーク パスと VPN インフラストラクチャに大きく負荷がかかるトラフィックでもあります。
このカテゴリの URL には、次のような特性があります。
- Microsoft インフラストラクチャにホストされている Microsoft が所有および管理するエンドポイントである
- 特定のサービス専用の IP アドレスを公開しました
- 変更率が低い
- 帯域幅や遅延の影響を受けやすい
- 必要なセキュリティ要素をネットワーク上で、インラインではなくサービスで提供することができる
- Microsoft 365 サービスへのトラフィック量の約 70 ~ 80% を占める
Microsoft 365 エンドポイントとその分類方法と管理方法の詳細については、「 Microsoft 365 エンドポイントの管理」を参照してください。
ほとんどの状況では、エンドポイントがプロキシにではなく直接送信されるように設定されているブラウザ PAC ファイルの URL エンドポイントのみを使用する必要があります。 [最適化] カテゴリの URL だけが必要な場合は、最初のクエリを使用するか、IP プレフィックスに 2 番目のクエリを使用します。
URL を最適化する
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.urls} | select -unique -ExpandProperty urls
IP アドレスの範囲を最適化する
(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.ips} | select -unique -ExpandProperty ips
2. Microsoft 365 エンドポイントの分割トンネルの実装
こういった重要なエンドポイントを特定したら、それを VPN トンネルから逸らし、ユーザーのローカル インターネット接続を使用してサービスに直接接続できるようにする必要があります。 これを実現する方法は、使用される VPN 製品とマシン プラットフォームによって異なりますが、ほとんどの VPN ソリューションでは、ポリシーの一部の構成でこのロジックを適用できます。 VPN プラットフォーム固有のスプリット トンネリングを行う方法については、「一般 VPN プラットフォームの HOWTO ガイド」をご覧ください。
ソリューションを手動でテストしたい場合は、次の PowerShell の例を実行して、ルート テーブルからソリューションをエミュレートできます。 この例では、それぞれの Teams メディア IP サブネットのルートをルート テーブルに追加します。 Teams ネットワーク評価ツール を使用する前と後に Teams メディアのパフォーマンスをテストし、指定したエンドポイントのルートの違いを確認できます。
例: Teams メディア IP サブネットをルート テーブルに追加する
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = " 52.112.0.0/14, 52.122.0.0/15, 2603:1063::/38" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
前のスクリプトでは、$intIndexはインターネットに接続されているインターフェイスのインデックスです (PowerShell で get-netadapter を実行して検索し、ifIndex の値を探します)、$gatewayはそのインターフェイスの既定のゲートウェイです (コマンド プロンプトまたは (Get-NetIPConfiguration |Foreach IPv4DefaultGateway)。NextHop in PowerShell)。
ルートを追加したら、コマンド プロンプトまたは PowerShell で「印刷のルーティング」を実行して、ルート テーブルが正しいことを確認できます。
[最適化] カテゴリ のすべての 現在の IP アドレス範囲のルートを追加するには、次のスクリプトバリエーションを使用して、現在の [IP サブネットの最適化] セットについて Microsoft 365 IP および URL Web サービス にクエリを実行し、ルート テーブルに追加します。
例: すべての最適化サブネットをルート テーブルに追加する
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
うっかり誤ったパラメーターでルートを追加してしまった場合、あるいは単に変更を元に戻したい場合は、次のコマンドを使用して、追加したルートを削除できます。
foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
VPN クライアントの設定を行い、最適化 IP へのトラフィックがこの方法でルーティングされるようにしてください。 これにより、トラフィックは、Microsoft 365 サービスと接続エンドポイントを可能な限りユーザーの近くに提供する Azure Front Door などの Microsoft 365 Service Front Door などのローカル Microsoft リソースを利用できます。 これにより、世界中のどこにいても高いパフォーマンス レベルをユーザーに提供でき、 Microsoft の世界クラスのグローバル ネットワークを最大限に活用できます。これは、ユーザーの直接送信から数ミリ秒以内に発生する可能性があります。
一般 VPN プラットフォームのHOWTO ガイド
このセクションでは、この領域で最も一般的なパートナーからの Microsoft 365 トラフィックの分割トンネリングを実装するための詳細なガイドへのリンクを提供します。 利用可能になったら、さらにガイドを追加します。
- Windows 10 VPN クライアント: ネイティブ Windows 10 VPN クライアントを使用したリモート ワーカー向けの Microsoft 365 トラフィックの最適化
- Cisco Anyconnect: Anyconnect スプリット トンネリングを Office365 向けに最適化する
- Palo Alto GlobalProtect: VPN スプリット トンネルを使用した Microsoft 365 トラフィックの最適化アクセス ルートの除外
- F5 ネットワーク BIG-IP APM: BIG-IP APM を 使用する場合の VPN 経由のリモート アクセスでの Microsoft 365 トラフィックの最適化
- Citrix Gateway: Office365 向けのCitrix Gateway VPN スプリット トンネルの最適化
- Pulse Secure: VPN トンネリング: Microsoft 365 アプリケーションを除外するように分割トンネリングを構成する方法
- Check Point VPN: Microsoft 365 およびその他の SaaS アプリケーション用にスプリット トンネルを構成する方法
関連記事
概要: Microsoft 365 の VPN 分割トンネリング
Microsoft 365 の一般的な VPN 分割トンネリング シナリオ
VPN 分割トンネリングのための Teams メディア トラフィックのセキュリティ保護
VPN 環境でのStreamイベントとライブ イベントに関する特別な考慮事項
中国ユーザー向けの Microsoft 365 パフォーマンスの最適化
Microsoft 365 ネットワークとパフォーマンスのチューニング
セキュリティ専門家と IT による、現代のユニークなリモート ワーク シナリオで最新のセキュリティ管理を実現するための代替的な方法 (Microsoft セキュリティ チーム ブログ)
Microsoft での VPN のパフォーマンス強化: Windows 10 の VPN プロファイルを使用して自動接続を許可する