Sikre Teams-medietrafikk for VPN-delt tunnelering

Obs!

Denne artikkelen er en del av et sett med artikler som tar for seg Microsoft 365-optimalisering for eksterne brukere.

• Hvis du vil ha en oversikt over hvordan du bruker VPN-delt tunnelering til å optimalisere Microsoft 365-tilkobling for eksterne brukere, kan du se Oversikt: VPN-delt tunnelering for Microsoft 365.
• Hvis du vil ha detaljert veiledning om implementering av VPN-delt tunnelering, kan du se Implementer VPN-delt tunnelering for Microsoft 365.
• Hvis du vil ha en detaljert liste over scenarioer for delt VPN-tunnelering, kan du se vanlige scenarioer for delt tunnelering av VPN for Microsoft 365.
• Hvis du vil ha informasjon om hvordan du konfigurerer Stream og direktesendte arrangementer i VPN-miljøer, kan du se Spesielle hensyn for Stream og direktesendte arrangementer i VPN-miljøer.
• Hvis du vil ha informasjon om optimalisering av microsoft 365-leierytelse på verdensbasis for brukere i Kina, kan du se Microsoft 365-ytelsesoptimalisering for Kina-brukere.

Noen Microsoft Teams-administratorer kan kreve detaljert informasjon om hvordan samtaleflyter fungerer i Teams ved hjelp av en delt tunnelmodell og hvordan tilkoblinger sikres.

Konfigurasjon

Så lenge de nødvendige Optimaliser IP-delnettene for Teams-medier er riktig på plass i rutetabellen, returneres det lokale grensesnittet for Microsoft-mål i Microsoft IP-blokkene som er oppført ovenfor, når Teams kaller GetBestRoute-funksjonen for å bestemme hvilket lokalt grensesnitt som tilsvarer ruten den skal bruke for et bestemt mål.

Noe VPN-klientprogramvare tillater rutingmanipulering basert på nettadresse. Teams-medietrafikk har imidlertid ingen url-adresse knyttet til den, så kontroll av ruting for denne trafikken må gjøres ved hjelp av IP-delnett.

I enkelte scenarioer, som ofte ikke er relatert til Teams klientkonfigurasjon, krysser medietrafikken fortsatt VPN-tunnelen selv med de riktige rutene på plass. Hvis du støter på dette scenarioet, bør det være tilstrekkelig å bruke en brannmurregel til å blokkere Teams IP-delnett eller porter fra å bruke VPN.

Viktig

For å sikre at Teams medietrafikk rutes via ønsket metode i alle VPN-scenarier, må du sørge for at brukerne kjører Microsoft Teams klientversjon 1.3.00.13565 eller nyere. Denne versjonen inneholder forbedringer i hvordan klienten oppdager tilgjengelige nettverksbaner.

Signaltrafikk utføres over HTTPS og er ikke så ventetidssensitiv som medietrafikken og er merket som Tillat i URL-/IP-dataene, og kan dermed trygt rutes gjennom VPN-klienten hvis ønskelig.

Obs!

Microsoft Edge 96 og nyere støtter også VPN-delt tunnelering for node-til-node-trafikk. Dette betyr at kunder for eksempel kan dra nytte av VPN-delt tunnelering for Teams-nettklienter på Edge. Kunder som ønsker å konfigurere det for nettsteder som kjører på Edge, kan oppnå det ved å ta det ekstra trinnet for å deaktivere Edge WebRtcRespectOsRoutingTableEnabled-policyen .

Sikkerhet

Et vanlig argument for å unngå delte tunneler er at det er mindre sikkert å gjøre det, det vil si at all trafikk som ikke går gjennom VPN-tunnelen, ikke vil dra nytte av det krypteringsskjemaet som brukes på VPN-tunnelen, og er derfor mindre sikker.

Hovedtellerargumentet for dette er at medietrafikk allerede krypteres via Secure Real-Time Transport Protocol (SRTP), en profil av Real-Time Transport Protocol (RTP) som gir konfidensialitet, godkjenning og avspilling av angrepsbeskyttelse til RTP-trafikk. SRTP selv er avhengig av en tilfeldig generert øktnøkkel, som utveksles via TLS sikret signalkanal. Dette dekkes i detalj i denne sikkerhetsveiledningen, men den primære delen av interessen er mediekryptering.

Medietrafikk krypteres ved hjelp av SRTP, som bruker en øktnøkkel generert av en sikker tilfeldig tallgenerator og utveksles ved hjelp av den signalerende TLS-kanalen. I tillegg krypteres også medier som flyter i begge retninger mellom meklingsserveren og det interne neste mellomhoppet, ved hjelp av SRTP.

Skype for Business Online genererer brukernavn/passord for sikker tilgang til mediereléer over traversering ved hjelp av releer rundt NAT (TURN). Mediereléer utveksler brukernavnet/passordet via en TLS-sikret SIP-kanal. Det er verdt å merke seg at selv om en VPN-tunnel kan brukes til å koble klienten til bedriftsnettverket, må trafikken fortsatt flyte i sin SRTP-form når den forlater bedriftsnettverket for å nå tjenesten.

Informasjon om hvordan Teams reduserer vanlige sikkerhetsbekymringer, for eksempel tale- eller økt traverseringsverktøy for NAT - forsterkingsangrep (STUN), finnes i 5.1 Sikkerhetshensyn for implementatorer.

Du kan også lese om moderne sikkerhetskontroller i eksterne arbeidsscenarioer på alternative måter for sikkerhetsteknikere og IT for å oppnå moderne sikkerhetskontroller i dagens unike eksterne arbeidsscenarioer (Microsoft Security Team-blogg).

Testing

Når policyen er på plass, bør du bekrefte at den fungerer som forventet. Det finnes flere måter å teste banen på er riktig angitt til å bruke den lokale Internett-tilkoblingen:

• Kjør Microsoft 365-tilkoblingstesten som vil kjøre tilkoblingstester for deg, inkludert sporingsruter som ovenfor. Vi legger også til VPN-tester i dette verktøyet som også skal gi ytterligere innsikt.

• Et enkelt sporingspunkt til et endepunkt innenfor omfanget av den delte tunnelen skal vise banen som er tatt, for eksempel:

  tracert worldaz.tr.teams.microsoft.com
  

  Deretter skal du se en bane via den lokale Internett-leverandøren til dette endepunktet som skal løses til en IP i Teams-områdene vi har konfigurert for delt tunnelering.

• Ta et nettverksopptak ved hjelp av et verktøy, for eksempel Wireshark. Filtrer på UDP under en samtale, og du skal se trafikk som flyter til en IP i teamsoptimaliseringsområdet . Hvis VPN-tunnelen brukes for denne trafikken, vil ikke medietrafikken være synlig i sporingen.

Flere støttelogger

Hvis du trenger ytterligere data for å feilsøke, eller ber om hjelp fra Microsoft Kundestøtte, bør du få følgende informasjon for å fremskynde funnet en løsning. Microsoft Kundestøtte tss Windows PowerShell-baserte universelle TroubleShooting Script verktøysett kan hjelpe deg med å samle de relevante loggene på en enkel måte. Du finner verktøyet og instruksjonene for bruk ved å laste ned TSS.zip her, og tilleggsinformasjon på Introduction to TroubleShootingScript toolset (TSS).

Relaterte artikler

Oversikt: VPN-delt tunnelering for Microsoft 365

Implementere VPN-delt tunnelering for Microsoft 365

Vanlige scenarioer for delt VPN-tunnelering for Microsoft 365

Spesielle hensyn for Stream og direktesendte arrangementer i VPN-miljøer

Ytelsesoptimalisering for Microsoft 365 for Kina-brukere

Prinsipper for nettverkstilkobling for Microsoft 365

Vurdering av Nettverkstilkobling for Microsoft 365

Nettverksjustering og ytelsesjustering for Microsoft 365

Alternative måter sikkerhetseksperter og IT-eksperter kan oppnå moderne sikkerhetskontroller på i dagens unike scenarier for eksternt arbeid (Microsoft Security Team-blogg)

Forbedre VPN-ytelsen hos Microsoft: bruke Windows 10 VPN-profiler til å tillate automatisk på-tilkoblinger

Kjører på VPN: Slik holder Microsoft sin eksterne arbeidsstyrke tilkoblet

Microsofts globale nettverk