Udostępnij za pośrednictwem


Zarządzanie punktami końcowymi platformy Microsoft 365

Większość organizacji korporacyjnych, które mają wiele lokalizacji biurowych i łączącą się sieć WAN, wymaga konfiguracji łączności sieciowej platformy Microsoft 365. Sieć można zoptymalizować, wysyłając wszystkie zaufane żądania sieciowe platformy Microsoft 365 bezpośrednio za pośrednictwem zapory, pomijając wszystkie dodatkowe inspekcje lub przetwarzanie na poziomie pakietów. Zmniejsza to opóźnienia i wymagania dotyczące pojemności obwodowej. Identyfikowanie ruchu sieciowego platformy Microsoft 365 jest pierwszym krokiem zapewniania optymalnej wydajności dla użytkowników. Aby uzyskać więcej informacji, zobacz Zasady łączności sieciowej platformy Microsoft 365.

Firma Microsoft zaleca dostęp do punktów końcowych sieci platformy Microsoft 365 i bieżących zmian w nich przy użyciu usługi sieci Web adresów IP i adresów URL platformy Microsoft 365.

Niezależnie od sposobu zarządzania istotnym ruchem sieciowym platformy Microsoft 365 platforma Microsoft 365 wymaga łączności z Internetem. Inne punkty końcowe sieci, w których wymagana jest łączność, są wymienione w temacie Dodatkowe punkty końcowe, które nie są uwzględnione w usłudze sieci Web adresów IP i adresów URL platformy Microsoft 365.

Sposób korzystania z punktów końcowych sieci platformy Microsoft 365 zależy od architektury sieci organizacji przedsiębiorstwa. W tym artykule opisano kilka sposobów integracji architektur sieci przedsiębiorstwa z adresami IP i adresami URL platformy Microsoft 365. Najprostszym sposobem wybrania zaufanych żądań sieciowych jest użycie urządzeń SD-WAN, które obsługują zautomatyzowaną konfigurację platformy Microsoft 365 w każdej lokalizacji biura.

SD-WAN dla lokalnego ruchu wychodzącego gałęzi o istotnym ruchu sieciowym platformy Microsoft 365

W każdej lokalizacji oddziału można podać urządzenie SD-WAN skonfigurowane do kierowania ruchu dla kategorii Punktów końcowych optymalizacji platformy Microsoft 365 lub optymalizowania i zezwalania na kategorie bezpośrednio do sieci firmy Microsoft. Inny ruch sieciowy, w tym ruch w lokalnym centrum danych, ogólny ruch w internetowych witrynach internetowych i ruch do punktów końcowych kategorii domyślnej platformy Microsoft 365, jest wysyłany do innej lokalizacji, w której istnieje większy obwód sieci.

Firma Microsoft współpracuje z dostawcami usług SD-WAN w celu włączenia zautomatyzowanej konfiguracji. Aby uzyskać więcej informacji, zobacz Microsoft 365 Networking Partner Program.

Używanie pliku PAC do bezpośredniego routingu istotnego ruchu platformy Microsoft 365

Użyj plików PAC lub WPAD, aby zarządzać żądaniami sieciowymi skojarzonymi z platformą Microsoft 365, ale nie mających adresu IP. Typowe żądania sieciowe wysyłane za pośrednictwem serwera proxy lub urządzenia obwodowego zwiększają opóźnienie. Podczas gdy protokół TLS Break and Inspect tworzy największe opóźnienie, inne usługi, takie jak uwierzytelnianie serwera proxy i wyszukiwanie reputacji, mogą powodować niską wydajność i złe środowisko użytkownika. Ponadto te urządzenia sieci obwodowej potrzebują wystarczającej pojemności, aby przetworzyć wszystkie żądania połączenia sieciowego. Zalecamy pomijanie serwera proxy lub urządzeń inspekcji w przypadku bezpośrednich żądań sieciowych platformy Microsoft 365.

Galeria programu PowerShell Get-PacFile to skrypt programu PowerShell, który odczytuje najnowsze punkty końcowe sieci z usługi sieci Web adresów IP i adresów URL platformy Microsoft 365 oraz tworzy przykładowy plik PAC. Skrypt można zmodyfikować tak, aby był integrowany z istniejącym zarządzaniem plikami PAC.

Uwaga

Aby uzyskać więcej informacji na temat zagadnień dotyczących zabezpieczeń i wydajności bezpośredniej łączności z punktami końcowymi platformy Microsoft 365, zobacz Zasady łączności sieciowej platformy Microsoft 365.

Nawiązywanie połączenia z usługą Microsoft 365 za pośrednictwem zapór i serwerów proxy.

Rysunek 1 . Prosty obwód sieci przedsiębiorstwa

Plik PAC jest wdrażany w przeglądarkach internetowych w punkcie 1 na rysunku 1. W przypadku korzystania z pliku PAC do bezpośredniego ruchu wychodzącego istotnego ruchu sieciowego platformy Microsoft 365 należy również zezwolić na łączność z adresami IP znajdującymi się za tymi adresami URL w zaporze obwodowej sieci. Odbywa się to przez pobranie adresów IP dla tych samych kategorii punktów końcowych platformy Microsoft 365, co określono w pliku PAC, i utworzenie list ACL zapory na podstawie tych adresów. Zapora jest punktem 3 na rysunku 1.

Oddzielnie, jeśli wybierzesz routing bezpośredni tylko dla punktów końcowych kategorii Optymalizacja, wszystkie wymagane punkty końcowe kategorii Zezwalaj wysyłane do serwera proxy muszą być wymienione na serwerze proxy w celu obejścia dalszego przetwarzania. Na przykład podział protokołu TLS i inspekcja i uwierzytelnianie serwera proxy są niezgodne zarówno z punktami końcowymi Optymalizuj i Zezwalaj na kategorię. Serwer proxy jest punktem 2 na rysunku 1.

Typową konfiguracją jest zezwolenie bez przetwarzania całego ruchu wychodzącego z serwera proxy dla docelowych adresów IP dla ruchu sieciowego platformy Microsoft 365, który dociera do serwera proxy. Aby uzyskać informacje o problemach z podziałem i inspekcją protokołu TLS, zobacz Korzystanie z urządzeń sieciowych innych firm lub rozwiązań w ruchu platformy Microsoft 365.

Istnieją dwa typy plików PAC generowanych przez skrypt Get-PacFile.

Wpisać Opis
1
Wyślij bezpośredni ruch do punktu końcowego optymalizuj i wszystkie inne elementy do serwera proxy.
2
Wyślij opcję Optymalizuj i zezwalaj na bezpośredni ruch punktu końcowego oraz wszystkie inne elementy do serwera proxy. Tego typu można również użyć do wysyłania wszystkich obsługiwanych usług ExpressRoute dla ruchu platformy Microsoft 365 do segmentów sieci usługi ExpressRoute i wszystkich innych do serwera proxy.

Oto prosty przykład wywoływania skryptu programu PowerShell:

Get-PacFile -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7

Istnieje wiele parametrów, które można przekazać do skryptu:

Parametr Opis
ClientRequestId
Jest to wymagane i jest identyfikatorEM GUID przekazanym do usługi internetowej, która reprezentuje maszynę kliencką wykonującą wywołanie.
Instancja
Wystąpienie usługi Microsoft 365, które domyślnie ma wartość Na całym świecie. Jest to również przekazywane do usługi internetowej.
TenantName
Nazwa dzierżawy platformy Microsoft 365. Przekazany do usługi internetowej i używany jako parametr wymienny w niektórych adresach URL platformy Microsoft 365.
Type
Typ pliku PAC serwera proxy, który chcesz wygenerować.

Oto kolejny przykład wywoływania skryptu programu PowerShell z większą ilością parametrów:

Get-PacFile -Type 2 -Instance Worldwide -TenantName Contoso -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7

Serwer proxy pomija przetwarzanie ruchu sieciowego platformy Microsoft 365

Jeśli pliki PAC nie są używane do bezpośredniego ruchu wychodzącego, nadal chcesz pominąć przetwarzanie na obwodzie sieci, konfigurując serwer proxy. Niektórzy dostawcy serwera proxy włączyli automatyczną konfigurację tego rozwiązania zgodnie z opisem w Networking Partner Program platformy Microsoft 365.

Jeśli zrobisz to ręcznie, musisz pobrać dane kategorii Optymalizuj i Zezwalaj na punkty końcowe z usługi sieci Web adresów IP i adresów URL platformy Microsoft 365 oraz skonfigurować serwer proxy do obejścia przetwarzania tych danych. Ważne jest, aby uniknąć przerwania protokołu TLS oraz inspekcji i uwierzytelniania serwera proxy dla punktów końcowych optymalizacji i zezwalania na kategorię.

Zarządzanie zmianami adresów IP i adresów URL platformy Microsoft 365

Oprócz wybrania odpowiedniej konfiguracji dla obwodu sieci ważne jest wdrożenie procesu zarządzania zmianami dla punktów końcowych platformy Microsoft 365. Te punkty końcowe zmieniają się regularnie. Jeśli nie zarządzasz zmianami, po dodaniu nowego adresu IP lub adresu URL możesz zakończyć się zablokowaniem użytkowników lub niską wydajnością.

Zmiany adresów IP i adresów URL platformy Microsoft 365 są zwykle publikowane w ostatnim dniu każdego miesiąca. Czasami zmiana jest publikowana poza tym harmonogramem z powodu wymagań operacyjnych, pomocy technicznej lub zabezpieczeń.

Po opublikowaniu zmiany wymagającej działania z powodu dodania adresu IP lub adresu URL należy oczekiwać 30-dniowego powiadomienia od momentu opublikowania zmiany do momentu utworzenia usługi Microsoft 365 w tym punkcie końcowym. Jest to odzwierciedlone jako data wejścia w życie. Mimo że dążymy do tego okresu powiadomień, może to nie zawsze być możliwe ze względu na wymagania operacyjne, pomocy technicznej lub zabezpieczeń. Zmiany, które nie wymagają natychmiastowej akcji w celu utrzymania łączności, takie jak usunięte adresy IP lub adresy URL lub mniej znaczące zmiany, nie obejmują powiadomienia z wyprzedzeniem. W tych przypadkach nie podano daty wejścia w życie. Niezależnie od tego, jakie powiadomienie zostało dostarczone, wyświetlamy listę oczekiwanej aktywnej daty usługi dla każdej zmiany.

Zmienianie powiadomienia przy użyciu usługi sieci Web

Aby uzyskać powiadomienie o zmianie, możesz użyć usługi sieci Web adresów IP i adresów URL platformy Microsoft 365. Zalecamy wywołanie / version metody internetowej raz na godzinę, aby sprawdzić wersję punktów końcowych, których używasz do nawiązywania połączenia z platformą Microsoft 365. Jeśli ta wersja zmieni się w porównaniu z używaną wersją, należy pobrać najnowsze dane punktu końcowego z metody internetowej /endpoints i opcjonalnie uzyskać różnice z metody internetowej /changes . Nie trzeba wywoływać /endpoints lub /changes metod internetowych, jeśli nie nastąpiła żadna zmiana w znalezionej wersji.

Aby uzyskać więcej informacji, zobacz Microsoft 365 IP Address and URL Web Service (Adres IP i adres URL usługi sieci Web platformy Microsoft 365).

Zmienianie powiadomień przy użyciu kanałów informacyjnych RSS

Usługa sieci Web adresów IP i adresów URL platformy Microsoft 365 udostępnia kanał informacyjny RSS, który można subskrybować w programie Outlook. Istnieją linki do adresów URL usług RSS na każdej stronie specyficznej dla wystąpienia usługi Microsoft 365 dla adresów IP i adresów URL. Aby uzyskać więcej informacji, zobacz Microsoft 365 IP Address and URL Web Service (Adres IP i adres URL usługi sieci Web platformy Microsoft 365).

Zmienianie powiadomienia i przeglądu zatwierdzenia przy użyciu usługi Power Automate

Rozumiemy, że nadal może być wymagane ręczne przetwarzanie zmian w punktach końcowych sieci, które pojawiają się w każdym miesiącu. Usługa Power Automate umożliwia utworzenie przepływu powiadamiającego za pomocą poczty e-mail i opcjonalnie uruchamiającego proces zatwierdzania zmian, gdy punkty końcowe sieci platformy Microsoft 365 mają zmiany. Po zakończeniu przeglądu możesz automatycznie wysłać zmiany do zespołu zarządzania zaporą i serwerem proxy.

Aby uzyskać informacje o przykładzie i szablonie usługi Power Automate, zobacz Używanie usługi Power Automate do odbierania wiadomości e-mail w celu wprowadzenia zmian w adresach IP i adresach URL platformy Microsoft 365.

Punkty końcowe sieci platformy Microsoft 365 — często zadawane pytania

Zapoznaj się z często zadawanymi pytaniami dotyczącymi łączności sieciowej platformy Microsoft 365.

Jak mogę przesłać pytanie?

Wybierz link u dołu, aby wskazać, czy artykuł był pomocny, czy nie, i prześlij więcej pytań. Monitorujemy opinię i aktualizujemy tutaj pytania, korzystając z najczęściej zadawanych pytań.

Jak mogę określić lokalizację mojej dzierżawy?

Lokalizacja dzierżawy jest najlepiej określana przy użyciu mapy centrum danych.

Czy komunikacja równorzędna jest odpowiednia z firmą Microsoft?

Lokalizacje komunikacji równorzędnej opisano bardziej szczegółowo w komunikacji równorzędnej z firmą Microsoft.

Dzięki ponad 2500 relacjom komunikacji równorzędnej usługodawców sieciowych na całym świecie i 70 punktom obecności, dotarcie z sieci do naszej powinno być bezproblemowe. Nie zaszkodzi spędzić kilka minut, upewniając się, że relacja komunikacji równorzędnej usługodawcy isp jest najbardziej optymalna, oto kilka przykładów dobrych i nie tak dobrych komunikacji równorzędnej hand-off do naszej sieci.

Widzę żądania sieciowe do adresów IP, które nie znajdują się na opublikowanej liście, czy muszę zapewnić im dostęp?

Podajemy tylko adresy IP dla serwerów platformy Microsoft 365, do których należy kierować się bezpośrednio. Nie jest to pełna lista wszystkich adresów IP, dla których będą wyświetlane żądania sieciowe. Zobaczysz żądania sieciowe do firmy Microsoft i adresów IP należących do innych firm, nieopublikowanych. Te adresy IP są generowane dynamicznie lub zarządzane w sposób uniemożliwiający szybkie powiadomienie o zmianie. Jeśli zapora nie może zezwolić na dostęp na podstawie nazw FQDN dla tych żądań sieciowych, użyj pliku PAC lub WPAD do zarządzania żądaniami.

Czy widzisz adres IP skojarzony z platformą Microsoft 365, na który chcesz uzyskać więcej informacji?

  1. Sprawdź, czy adres IP jest uwzględniony w większym opublikowanym zakresie przy użyciu kalkulatora CIDR, takiego jak dla protokołu IPv4 lub IPv6. Na przykład 40.96.0.0/13 zawiera adres IP 40.103.0.1, mimo że 40.96 nie pasuje do 40.103.
  2. Sprawdź, czy partner jest właścicielem adresu IP z zapytaniem whois. Jeśli jest własnością firmy Microsoft, może to być partner wewnętrzny. Wiele punktów końcowych sieci partnerskiej jest wymienionych jako należące do kategorii domyślnej , dla których adresy IP nie są publikowane.
  3. Adres IP może nie być częścią platformy Microsoft 365 lub zależności. Publikowanie sieciowych punktów końcowych platformy Microsoft 365 nie obejmuje wszystkich punktów końcowych sieci firmy Microsoft.
  4. Sprawdź certyfikat. W przeglądarce połącz się z adresem IP przy użyciu https://<IP_address> i sprawdź domeny wymienione w certyfikacie, aby zrozumieć, które domeny są skojarzone z adresem IP. Jeśli jest to adres IP należący do firmy Microsoft, a nie na liście adresów IP platformy Microsoft 365, prawdopodobnie adres IP jest skojarzony z usługą Microsoft CDN, taką jak MSOCDN.NET lub inną domeną firmy Microsoft bez opublikowanych informacji IP. Jeśli domena certyfikatu jest domeną, w której żądamy wyświetlenia adresu IP, poinformuj nas o tym.

Niektóre adresy URL platformy Microsoft 365 wskazują rekordy CNAME zamiast rekordów A w systemie DNS. Co mam zrobić z rekordami CNAME?

Komputery klienckie potrzebują rekordu DNS A lub AAAA, który zawiera co najmniej jeden adres IP w celu nawiązania połączenia z usługą w chmurze. Niektóre adresy URL zawarte w usłudze Microsoft 365 pokazują rekordy CNAME zamiast rekordów A lub AAAA. Te rekordy CNAME są pośredniczące i może istnieć kilka w łańcuchu. Zawsze będą one ostatecznie rozpoznawać rekord A lub AAAA dla adresu IP. Rozważmy na przykład następującą serię rekordów DNS, które ostatecznie rozpoznają adres IP IP_1:

serviceA.office.com -> CNAME: serviceA.domainA.com -> CNAME: serviceA.domainB.com -> A: IP_1

Te przekierowania CNAME są normalną częścią systemu DNS i są niewidoczne dla komputera klienckiego i niewidoczne dla serwerów proxy. Są one używane do równoważenia obciążenia, sieci dostarczania zawartości, wysokiej dostępności i ograniczania zdarzeń usługi. Firma Microsoft nie publikuje pośredniczących rekordów CNAME, mogą ulec zmianie w dowolnym momencie i nie należy ich konfigurować zgodnie z wymaganiami na serwerze proxy.

Serwer proxy weryfikuje początkowy adres URL, który w powyższym przykładzie jest serviceA.office.com, a ten adres URL zostałby uwzględniony w publikowaniu platformy Microsoft 365. Serwer proxy żąda rozpoznawania dns tego adresu URL do adresu IP i odbiera z powrotem IP_1. Nie weryfikuje on pośredniczących rekordów przekierowania CNAME.

Zakodowane konfiguracje lub używanie listy dozwolonych opartej na pośrednich nazwach FQDN platformy Microsoft 365 nie są zalecane i nie są obsługiwane przez firmę Microsoft. Wiadomo, że powodują problemy z łącznością z klientem. Rozwiązania DNS, które blokują przekierowanie CNAME lub które w inny sposób niepoprawnie rozpoznają wpisy DNS platformy Microsoft 365, można rozwiązać za pośrednictwem usług przesyłania dalej DNS z włączoną rekursją DNS lub za pomocą wskazówek głównych DNS. Wiele produktów obwodowych sieci innych firm natywnie integruje zalecany punkt końcowy platformy Microsoft 365 w celu uwzględnienia listy dozwolonych w konfiguracji przy użyciu usługi sieci Web adresów IP i adresów URL platformy Microsoft 365.

Dlaczego w nazwach domen firmy Microsoft są wyświetlane nazwy takie jak nsatc.net lub akadns.net?

Platforma Microsoft 365 i inne usługi firmy Microsoft korzystają z kilku usług innych firm, takich jak Akamai i MarkMonitor, aby ulepszyć środowisko platformy Microsoft 365. Aby zapewnić ci jak najlepsze środowisko, możemy zmienić te usługi w przyszłości. Domeny innych firm mogą hostują zawartość, taką jak sieć CDN, lub hostują usługę, taką jak usługa zarządzania ruchem geograficznym. Niektóre z obecnie używanych usług to:

MarkMonitor jest używany w przypadku wyświetleń żądań zawierających plik *.nsatc.net. Ta usługa zapewnia ochronę nazw domen i monitorowanie w celu ochrony przed złośliwym zachowaniem.

Funkcja ExactTarget jest używana w przypadku wyświetlenia żądań do pliku *.exacttarget.com. Ta usługa zapewnia zarządzanie linkami poczty e-mail i monitorowanie przed złośliwym zachowaniem.

Usługa Akamai jest używana w przypadku wyświetleń żądań zawierających jedną z następujących nazw FQDN. Ta usługa oferuje usługi sieciowe geo-DNS i dostarczania zawartości.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

Muszę mieć minimalną możliwą łączność dla platformy Microsoft 365

Ponieważ platforma Microsoft 365 to pakiet usług utworzonych do działania przez Internet, obietnice dotyczące niezawodności i dostępności są oparte na wielu dostępnych standardowych usługach internetowych. Na przykład standardowe usługi internetowe, takie jak DNS, CRL i CDN, muszą być osiągalne do korzystania z platformy Microsoft 365, tak jak muszą być dostępne do korzystania z większości nowoczesnych usług internetowych.

Pakiet Microsoft 365 jest podzielony na cztery główne obszary usług reprezentujące trzy podstawowe obciążenia i zestaw wspólnych zasobów. Te obszary usług mogą służyć do kojarzenia przepływów ruchu z określoną aplikacją, jednak biorąc pod uwagę, że funkcje często używają punktów końcowych w wielu obciążeniach, tych obszarów usług nie można skutecznie używać do ograniczania dostępu.

Obszar usługi Opis
Exchange
Exchange Online i Exchange Online Protection
SharePoint
Usługi SharePoint Online i OneDrive dla Firm
Skype dla firm Online i Microsoft Teams
Skype dla firm i Microsoft Teams
Wspólny
Microsoft 365 Pro Plus, Pakiet Office w przeglądarce, Tożsamość Microsoft Entra i inne typowe punkty końcowe sieci

Oprócz podstawowych usług internetowych istnieją usługi innych firm, które są używane tylko do integracji funkcji. Chociaż te usługi są potrzebne do integracji, są one oznaczone jako opcjonalne w artykule Punkty końcowe platformy Microsoft 365. Oznacza to, że podstawowe funkcje usługi nadal działają, jeśli punkt końcowy nie jest dostępny. Każdy wymagany punkt końcowy sieci ma wymagany atrybut ustawiony na wartość true. Każdy opcjonalny punkt końcowy sieci ma wymagany atrybut ustawiony na wartość false, a atrybut notatek szczegółowo opisuje brakujące funkcje, których należy oczekiwać, jeśli łączność jest zablokowana.

Jeśli próbujesz użyć platformy Microsoft 365 i stwierdzasz, że usługi innych firm są niedostępne, chcesz upewnić się, że wszystkie nazwy FQDN oznaczone jako wymagane lub opcjonalne w tym artykule są dozwolone za pośrednictwem serwera proxy i zapory.

Jak mogę zablokować dostęp do usług konsumenckich firmy Microsoft?

Funkcja ograniczeń dzierżawy obsługuje teraz blokowanie korzystania ze wszystkich aplikacji konsumenckich firmy Microsoft (aplikacji MSA), takich jak OneDrive, Hotmail i Xbox.com. Ta funkcja używa oddzielnego nagłówka do punktu końcowego login.live.com. Aby uzyskać więcej informacji, zobacz Używanie ograniczeń dzierżawy do zarządzania dostępem do aplikacji w chmurze SaaS.

Moja zapora wymaga adresów IP i nie może przetwarzać adresów URL. Jak mogę skonfigurować go dla platformy Microsoft 365?

Platforma Microsoft 365 nie udostępnia adresów IP wszystkich wymaganych punktów końcowych sieci. Niektóre z nich są udostępniane tylko jako adresy URL i są kategoryzowane jako domyślne. Adresy URL w kategorii domyślnej, które są wymagane, powinny być dozwolone za pośrednictwem serwera proxy. Jeśli nie masz serwera proxy, sprawdź, jak skonfigurowano żądania internetowe dla adresów URL, które użytkownicy wpisują na pasku adresu przeglądarki internetowej; użytkownik nie podaje również adresu IP. Domyślne adresy URL kategorii platformy Microsoft 365, które nie zawierają adresów IP, powinny być skonfigurowane w ten sam sposób.

Adres IP i URL usługi sieci Web platformy Microsoft 365

Zakresy adresów IP centrum danych platformy Microsoft Azure

Przestrzeń publicznych adresów IP firmy Microsoft

Wymagania dotyczące infrastruktury sieci dla Microsoft Intune

Zakresy adresów IP i adresów IP platformy Microsoft 365

Zasady łączności sieciowej platformy Microsoft 365