管理 Microsoft 365 终结点
具有多个办公位置和连接 WAN 的大多数企业组织都需要配置 Microsoft 365 网络连接。 可以通过防火墙直接发送所有受信任的Microsoft 365 个网络请求来优化网络,绕过所有额外的数据包级别检查或处理。 这样可减少延迟和外围容量要求。 识别Microsoft 365 网络流量是为用户提供最佳性能的第一步。 有关详细信息,请参阅 Microsoft 365 网络连接原则。
Microsoft建议使用 Microsoft 365 IP 地址和 URL Web 服务访问Microsoft 365 网络终结点并对其进行持续更改。
无论如何管理重要Microsoft 365 网络流量,Microsoft 365 都需要 Internet 连接。 需要连接的其他网络终结点列在 Microsoft 365 IP 地址和 URL Web 服务中未包括的其他终结点中。
如何使用 Microsoft 365 网络终结点取决于企业组织网络体系结构。 本文概述了企业网络体系结构可以与 Microsoft 365 个 IP 地址和 URL 集成的几种方法。 选择信任的网络请求的最简单方法是在每个办公室位置使用支持自动Microsoft 365 配置的 SD-WAN 设备。
SD-WAN 用于重要Microsoft 365 网络流量的本地分支出口
在每个分支机构位置,可以提供一个 SD-WAN 设备,该设备配置为将终结点Microsoft 365 优化类别或“优化”和“允许”类别的流量直接路由到Microsoft的网络。 其他网络流量(包括本地数据中心流量、常规 Internet 网站流量和发往 Microsoft 365 默认类别终结点的流量)将发送到另一个具有更多网络外围的位置。
Microsoft正在使用 SD-WAN 提供程序启用自动配置。 有关详细信息,请参阅 Microsoft 365 网络合作伙伴计划。
使用 PAC 文件直接路由重要Microsoft 365 流量
使用 PAC 或 WPAD 文件管理与 Microsoft 365 关联但没有 IP 地址的网络请求。 通过代理或外围设备发送的网络请求通常会增加延迟。 虽然 TLS 中断和检查会产生最大的延迟,但代理身份验证和信誉查找等其他服务可能会导致性能不佳和用户体验不佳。 此外,这些外围网络设备需要有足够的容量,才能处理所有网络连接请求。 对于直接Microsoft 365 个网络请求,建议绕过代理或检查设备。
PowerShell 库 Get-PacFile 是一个 PowerShell 脚本,用于从 Microsoft 365 IP 地址和 URL Web 服务读取最新的网络终结点,并创建示例 PAC 文件。 可以修改脚本,使其与现有的 PAC 文件管理集成。
注意
有关直接连接到 Microsoft 365 终结点的安全和性能注意事项的详细信息,请参阅 Microsoft 365 网络连接原则。
图 1 - 简单的企业网络外围
该 PAC 文件部署到了图 1 中点 1 处的 Web 浏览器。 使用 PAC 文件直接传出重要Microsoft 365 网络流量时,还需要允许连接到网络外围防火墙上这些 URL 后面的 IP 地址。 为此,可以提取 PAC 文件中指定的相同Microsoft 365 终结点类别的 IP 地址,并根据这些地址创建防火墙 ACL。 防火墙是图 1 中的点 3。
另外,如果选择仅对“优化”类别终结点执行直接路由,则需要在代理服务器中列出发送到代理服务器的任何必需“允许”类别终结点,以绕过进一步处理。 例如,TLS 中断和检查和代理身份验证与优化和允许类别终结点不兼容。 代理服务器是图 1 中的点 2。
常见的配置是允许不处理来自代理服务器的目标 IP 地址的所有出站流量,Microsoft到达代理服务器的 365 网络流量。 有关 TLS 中断和检查问题的信息,请参阅 对Microsoft 365 流量使用第三方网络设备或解决方案。
Get-PacFile 脚本生成两种类型的 PAC 文件。
类型 | 描述 |
---|---|
1 |
直接将“优化”终结点流量和其他流量发送到代理服务器。 |
2 |
直接将“优化和允许”终结点流量和其他流量发送到代理服务器。 此类型还可用于将所有受支持的 ExpressRoute Microsoft 365 流量发送到 ExpressRoute 网段和其他所有流量到代理服务器。 |
下面是调用 PowerShell 脚本的一个简单示例:
Get-PacFile -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7
可以传递给脚本的许多参数:
参数 | 描述 |
---|---|
ClientRequestId |
这是必需的,并且是传递给 Web 服务的 GUID,它代表进行呼叫的客户端计算机。 |
实例 |
Microsoft 365 服务实例,默认为“全球”。 这也会传递给 Web 服务。 |
TenantName |
Microsoft 365 租户名称。 传递给 Web 服务,并在一些Microsoft 365 个 URL 中用作可替换参数。 |
类型 |
要生成的代理 PAC 文件的类型。 |
下面是使用更多参数调用 PowerShell 脚本的另一个示例:
Get-PacFile -Type 2 -Instance Worldwide -TenantName Contoso -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7
代理服务器绕过Microsoft 365 网络流量的处理
如果 PAC 文件不用于直接出站流量,则你仍希望通过配置代理服务器来绕过网络外围的处理。 一些代理服务器供应商已启用自动配置,如 Microsoft 365 网络合作伙伴计划中所述。
如果手动执行此操作,则需要从 Microsoft 365 IP 地址和 URL Web 服务获取“优化”和“允许”终结点类别数据,并将代理服务器配置为绕过这些服务的处理。 请务必避免“优化”和“允许”类别终结点的 TLS 中断和检查和代理身份验证。
Microsoft 365 个 IP 地址和 URL 的更改管理
除了为网络外围选择适当的配置外,为 Microsoft 365 终结点采用更改管理流程至关重要。 这些终结点会定期更改。 如果不管理更改,在添加新 IP 地址或 URL 后,最终可能会阻止用户或性能不佳。
对 Microsoft 365 个 IP 地址和 URL 的更改通常在每个月的最后一天发布。 有时,由于操作、支持或安全要求,更改会发布在该计划之外。
当由于添加了 IP 地址或 URL 而要求你执行操作的更改时,从我们发布更改时到该终结点上存在Microsoft 365 服务,应该会在 30 天内收到通知。 这将反映为“生效日期”。 尽管我们针对此通知期,但由于操作、支持或安全要求,它可能并非始终可行。 不需要立即操作来维持连接的更改(例如删除的 IP 地址或 URL 或不太重要的更改)不包括提前通知。 在这些实例中,不提供任何“生效日期”。 无论提供什么通知,我们都会列出每次更改的预期服务启用日期。
使用 Web 服务的更改通知
可以使用 Microsoft 365 IP 地址和 URL Web 服务获取更改通知。 建议每小时调用 /version Web 方法一次,以检查用于连接到 Microsoft 365 的终结点的版本。 如果与使用的版本相比,该版本发生了变化,则应该从 /endpoints Web 方法获取最新的终结点数据,并可以选择从 /changes Web 方法获取差异。 如果找到的版本没有任何更改,则无需调用 /endpoints 或 /changes Web 方法。
有关详细信息,请参阅 Microsoft 365 IP 地址和 URL Web 服务。
使用 RSS 源的更改通知
Microsoft 365 IP 地址和 URL Web 服务提供可在 Outlook 中订阅的 RSS 源。 每个MICROSOFT 365 服务实例特定页面上都有指向 IP 地址和 URL 的 RSS URL 的链接。 有关详细信息,请参阅 Microsoft 365 IP 地址和 URL Web 服务。
使用Power Automate更改通知和审批评审
我们理解,你可能仍需要手动处理每个月进行的网络终结点更改。 可以使用 Power Automate 创建通过电子邮件通知的流,并在Microsoft 365 个网络终结点发生更改时选择性地运行更改审批流程。 审核完成后,可以通过流程自动将更改通过电子邮件发送给防火墙和代理服务器管理团队。
有关 Power Automate 示例和模板的信息,请参阅 使用 Power Automate 接收有关Microsoft 365 个 IP 地址和 URL 的更改的电子邮件。
Microsoft 365 网络终结点常见问题解答
请参阅有关 Microsoft 365 网络连接的常见问题。
如何提交问题?
选择底部的链接以指示文章是否有帮助,并提交更多问题。 我们会检查反馈,并更新最常见的问题。
如何确定租户的位置?
使用数据中心地图是确定租户位置的最佳方式。
我与 Microsoft 间的对等互连是否正确?
在与 Microsoft 对等互连中详细描述了对等位置。
我们在全球拥有 2500 多个 ISP 对等关系和 70 个接入点,因此你的网络可无缝连接到我们的网络。 花几分钟时间确保你的 ISP 对等关系为最佳对等关系,这不会有什么坏处,此处的几个示例展示了对等转接我们的网络时较顺利的情况和不太顺利的情况。
我发现发布列表中没有列出对 IP 地址的网络请求,我是否需要提供访问它们的权限?
我们只为应直接路由到的 Microsoft 365 服务器提供 IP 地址。 这不是所有会出现网络请求的 IP 地址的完整列表。 你将看到Microsoft和第三方拥有的未发布的 IP 地址的网络请求。 这些 IP 地址是动态生成的或管理的,发生更改时不会及时通知。 如果防火墙不允许基于 FQDN 访问这些网络请求,请使用 PAC 或 WPAD 文件来管理请求。
查看与 Microsoft 365 关联的 IP,需要了解详细信息?
- 使用 CIDR 计算器检查该 IP 地址是否包含在较大的已发布范围内,如 IPv4 或 IPv6 的 IP 地址。 例如,40.96.0.0/13 包括 IP 地址40.103.0.1,尽管40.96 与 40.103 不匹配。
- 查看合作伙伴是否拥有含 whois 查询的 IP。 如果它是Microsoft拥有的,则它可能是内部合作伙伴。 许多合作伙伴网络终结点被列为属于 默认 类别,IP 地址不会发布。
- IP 地址可能不是 Microsoft 365 或依赖项的一部分。 Microsoft 365 网络终结点发布不包括所有Microsoft网络终结点。
- 检查证书。 使用浏览器,使用 HTTPS://< 连接到 IP 地址IP_ADDRESS> 并检查证书上列出的域,以了解哪些域与 IP 地址相关联。 如果它是Microsoft拥有的 IP 地址,而不在 Microsoft 365 个 IP 地址列表中,则可能该 IP 地址与Microsoft CDN(例如 MSOCDN.NET )或其他Microsoft域相关联,而未发布 IP 信息。 如果发现证书上的域确实是我们宣称列出 IP 地址的域,请告知我们。
某些Microsoft 365 个 URL 指向 CNAME 记录,而不是 DNS 中的 A 记录。 我与 CNAME 记录有什么关系?
客户端计算机需要包含一个或多个 IP 地址 (es) 的 DNS A 或 AAAA 记录才能连接到云服务。 Microsoft 365 中包含的某些 URL 显示 CNAME 记录,而不是 A 或 AAAA 记录。 这些 CNAME 记录是中间记录,一个链中可能有多个记录。 它们最终将始终解析为 IP 地址的 A 或 AAAA 记录。 例如,请考虑以下 DNS 记录系列,这些记录最终解析为 IP 地址IP_1:
serviceA.office.com -> CNAME: serviceA.domainA.com -> CNAME: serviceA.domainB.com -> A: IP_1
这些 CNAME 重定向是 DNS 的常规部分,对客户端计算机和代理服务器都是透明的。 它们用于负载均衡、内容分发网络、高可用性和服务事件缓解。 Microsoft不发布中间 CNAME 记录,它们随时可能更改,并且无需将它们配置为代理服务器中的允许。
代理服务器验证初始 URL(在上面的示例中为 serviceA.office.com),并且此 URL 将包含在 Microsoft 365 发布中。 代理服务器向 IP 地址请求该 URL 的 DNS 解析,并接收回IP_1。 它不会验证中间 CNAME 重定向记录。
Microsoft不建议使用硬编码配置或使用基于间接Microsoft 365 FQDN 的允许列表。 已知它们会导致客户连接问题。 可通过启用了 DNS 递归的 DNS 转发器或使用 DNS 根提示来解决在 CNAME 重定向上阻止的 DNS 解决方案,或者错误地解析Microsoft 365 个 DNS 条目。 许多第三方网络外围产品以本机方式集成推荐的 Microsoft 365 终结点,以使用 Microsoft 365 IP 地址和 URL Web 服务在其配置中包含允许列表。
为什么会在 Microsoft 域名中看到 nsatc.net 或 akadns.net 等名称?
Microsoft 365 和其他Microsoft服务使用 Akamai 和 MarkMonitor 等多个第三方服务来改善 Microsoft 365 体验。 为了尽可能为您提供最佳体验,我们可能会在将来更改这些服务。 第三方域可能托管内容(例如 CDN),也可能托管服务(如地理流量管理服务)。 目前正在使用的一些服务包括:
当你看到包含 *.nsatc.net 的请求时,MarkMonitor 正在使用中。 此服务提供域名称保护和监控功能,抵御恶意行为。
当你看到对 *.exacttarget.com 的请求时,ExactTarget 正在使用中。 此服务提供电子邮件链接管理和监控功能,抵御恶意行为。
如果看到请求包括以下一种 FQDN,则表示正在使用 Akamai。 此服务提供地理 DNS 和内容交付网络服务。
*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net
我必须具有 Microsoft 365 的最低连接
由于 Microsoft 365 是一套用于在 Internet 上运行的服务,因此可靠性和可用性承诺基于许多可用的标准 Internet 服务。 例如,DNS、CRL 和 CDN 等标准 Internet 服务必须可访问才能使用 Microsoft 365,就像使用大多数新式 Internet 服务必须可访问一样。
Microsoft 365 套件分为四个主要服务领域,分别代表三个主要工作负载和一组公共资源。 这些服务区域可用于将流量流与特定应用程序相关联,但是,鉴于功能经常跨多个工作负载使用终结点,这些服务区域无法有效地用于限制访问。
服务区域 | 描述 |
---|---|
Exchange |
Exchange Online 和 Exchange Online Protection |
SharePoint |
SharePoint Online 和 OneDrive for Business |
Skype for Business Online 和 Microsoft Teams |
Skype for Business 和 Microsoft Teams |
常见 |
Microsoft 365 专业增强版、浏览器中的 Office、Microsoft Entra ID 和其他常见网络终结点 |
除了基本的 Internet 服务外,还有一些仅用于集成功能的第三方服务。 虽然集成需要这些服务,但它们在 Microsoft 365 终结点一文中标记为可选。 这意味着,如果终结点不可访问,服务的核心功能将继续正常运行。 所需的任何网络终结点的必需属性设置为 true。 任何可选网络终结点的必需属性设置为 false,notes 属性详细说明了连接被阻止时预期缺少的功能。
如果尝试使用 Microsoft 365 并且发现无法访问第三方服务,则需要 确保通过代理和防火墙允许在本文中标记为必需或可选的所有 FQDN。
如何阻止对 Microsoft 消费者服务的访问?
租户限制功能现在支持阻止使用所有Microsoft使用者应用程序 (MSA 应用) ,例如 OneDrive、Hotmail 和 Xbox.com。 此功能使用 login.live.com 终结点的单独标头。 有关详细信息,请参阅 使用租户限制管理对 SaaS 云应用程序的访问权限。
我的防火墙需要 IP 地址,并且无法处理 URL。 如何为 Microsoft 365 配置它?
Microsoft 365 不提供所有所需网络终结点的 IP 地址。 有些仅作为 URL 提供,并且被归类为“默认”。 应通过代理服务器允许默认类别中所需的 URL。 如果没有代理服务器,请查看如何为用户在 Web 浏览器的地址栏中键入的 URL 配置 Web 请求;用户也不提供 IP 地址。 未提供 IP 地址的 Microsoft 365 默认类别 URL 的配置方式应相同。