Implementera DELADE VPN-tunnlar för Microsoft 365

Artikel
03/25/2025

Obs!

Den här artikeln är en del av en uppsättning artiklar som behandlar Microsoft 365-optimering för fjärranvändare eller när du implementerar nätverksoptimeringar som involverar IP-prefixbaserad routning för att kringgå överbelastningspunkter i nätverksinfrastrukturen.

En översikt över hur du använder delade VPN-tunnlar för att optimera Microsoft 365-anslutningar för fjärranvändare finns i Översikt: DELADE VPN-tunnlar för Microsoft 365.
En detaljerad lista över scenarier med delade VPN-tunnlar finns i Vanliga scenarier med delade VPN-tunnlar för Microsoft 365.
Vägledning om hur du skyddar Teams medietrafik i VPN-miljöer med delade tunnlar finns i Skydda Teams medietrafik för DELADE VPN-tunnlar.
Information om hur du konfigurerar Stream och livehändelser i VPN-miljöer finns i Särskilda överväganden för Stream och livehändelser i VPN-miljöer.
Information om hur du optimerar microsoft 365 globala klientprestanda för användare i Kina finns i Microsoft 365-prestandaoptimering för kinesiska användare.

Microsoft föreslår en strategi för att förbättra anslutningen snabbt och effektivt. Detta omfattar några enkla steg för att uppdatera dina nätverksvägar, så att vissa viktiga slutpunkter kan kringgå överbelastade VPN-servrar. Genom att använda en liknande eller bättre säkerhetsmodell i olika lager behöver du inte skydda all trafik vid företagsnätverkets slutpunkt och du kan dirigera Microsoft 365-trafik med kortare och effektivare nätverksvägar. Detta kan vanligtvis göras inom några timmar och kan skalas till flera Microsoft 365-arbetsbelastningar efter behov.

Implementera delade VPN-tunnlar

I den här artikeln hittar du de enkla steg som krävs för att migrera VPN-klientarkitekturen från en VPN-tvingad tunnel till en VPN-tvingad tunnel med några betrodda undantag, VPN-delad tunnelmodell nr 2 i vanliga scenarier med DELADE VPN-tunnlar för Microsoft 365.

Följande diagram illustrerar hur den rekommenderade vpn-lösningen för delade tunnlar fungerar:

Information om VPN-lösning med delad tunnel.

1. Identifiera de slutpunkter som ska optimeras

I artikeln Url:er och IP-adressintervall för Microsoft 365 identifierar Microsoft tydligt de nyckelslutpunkter som du behöver för att optimera och kategorisera dem som Optimera. Den här lilla gruppen slutpunkter står för cirka 70 % – 80 % av mängden trafik till Microsoft 365-tjänsten, inklusive svarstidskänsliga slutpunkter som de för Teams-media. I grund och botten är detta den trafik som vi behöver ta särskild hand om och är också den trafik som kommer att sätta otrolig press på traditionella nätverksvägar och VPN-infrastruktur.

URL:er i den här kategorin har följande egenskaper:

Finns Microsofts ägda och hanterade slutpunkter i Microsofts infrastruktur?
Ha publicerade IP-adresser som är dedikerade för specifika tjänster
Låg ändringstakt
Är bandbredds- och/eller svarstidskänsliga
Kan ha nödvändiga säkerhetselement som tillhandahålls i tjänsten i stället för infogade i nätverket
Står för cirka 70–80 % av trafikvolymen till Microsoft 365-tjänsten

Mer information om Microsoft 365-slutpunkter och hur de kategoriseras och hanteras finns i Hantera Microsoft 365-slutpunkter.

I de flesta fall bör du bara behöva använda URL-slutpunkter i en PAC-webbläsarfil där slutpunkterna är konfigurerade för att skickas direkt i stället för till proxyn. Om du bara behöver URL:er för kategorin Optimera använder du den första frågan eller använder den andra frågan för IP-prefix.

Optimera URL:er

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.urls} | select -unique -ExpandProperty urls

Optimera IP-adressintervall

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.ips} | select -unique -ExpandProperty ips

2. Implementera delad tunnel för Microsoft 365-slutpunkter

Nu när vi har identifierat dessa kritiska slutpunkter måste vi avleda dem från VPN-tunneln och låta dem använda användarens lokala Internetanslutning för att ansluta direkt till tjänsten. Det sätt på vilket detta görs varierar beroende på vilken VPN-produkt och datorplattform som används, men de flesta VPN-lösningar tillåter viss principkonfiguration för att tillämpa den här logiken. Information om VPN-plattformsspecifik vägledning för delade tunnlar finns i HOWTO-guider för vanliga VPN-plattformar.

Om du vill testa lösningen manuellt kan du köra följande PowerShell-exempel för att emulera lösningen på routningstabellnivå. Det här exemplet lägger till en väg för vart och ett av Teams Media IP-undernät i routningstabellen. Du kan testa Teams mediaprestanda före och efter att du har använt verktyget för nätverksutvärdering i Teams och observera skillnaden i vägar för de angivna slutpunkterna.

Exempel: Lägga till Teams Media IP-undernät i routningstabellen

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = " 52.112.0.0/14, 52.122.0.0/15, 2603:1063::/38" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

I föregående skript är $intIndex indexet för gränssnittet som är anslutet till Internet (hitta genom att köra get-netadapter i PowerShell; leta efter värdet för ifIndex) och $gateway är standardgatewayen för det gränssnittet (hitta genom att köra ipconfig i en kommandotolk eller (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop i PowerShell).

När du har lagt till vägarna kan du bekräfta att routningstabellen är korrekt genom att köra routningsutskrift i en kommandotolk eller PowerShell.

Om du vill lägga till vägar för alla aktuella IP-adressintervall i kategorin Optimera kan du använda följande skriptvariant för att fråga webbtjänsten Microsoft 365 IP och URL för den aktuella uppsättningen optimera IP-undernät och lägga till dem i routningstabellen.

Exempel: Lägg till alla Optimera undernät i routningstabellen

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Om du oavsiktligt har lagt till vägar med felaktiga parametrar eller bara vill återställa ändringarna kan du ta bort de vägar som du just lade till med följande kommando:

foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

VPN-klienten ska konfigureras så att trafik till Optimera IP-adresser dirigeras på det här sättet. På så sätt kan trafiken använda lokala Microsoft-resurser, till exempel Microsoft 365 Service Front Doors , till exempel Azure Front Door som levererar Microsoft 365-tjänster och anslutningsslutpunkter så nära användarna som möjligt. På så sätt kan vi leverera höga prestandanivåer till användare oavsett var de befinner sig i världen och dra full nytta av Microsofts globala nätverk i världsklass, vilket sannolikt ligger inom några millisekunder från användarnas direkta utgående trafik.

HOWTO-guider för vanliga VPN-plattformar

Det här avsnittet innehåller länkar till detaljerade guider för implementering av delade tunnlar för Microsoft 365-trafik från de vanligaste partnerna i det här utrymmet. Vi lägger till fler guider när de blir tillgängliga.