實作 Microsoft 365 的 VPN 分割通道

發行項
03/25/2025

注意事項

本文是一組文章的一部分，可解決遠端使用者的Microsoft 365 優化，或當您實作包含IP前置詞型路由的網路優化，以略過網路基礎結構中的壅塞點時。

如需使用 VPN 分割通道來優化遠端使用者Microsoft 365 連線的概觀，請參閱概觀：適用於 Microsoft 365 的 VPN 分割通道。
如需 VPN 分割通道案例的詳細清單，請參閱 Microsoft 365 的常見 VPN 分割通道案例。
如需在 VPN 分割通道環境中保護 Teams 媒體流量的指引，請參閱保護適用於 VPN 分割通道的 Teams 媒體流量。
如需如何在 VPN 環境中設定 Stream 和即時活動的資訊，請參閱 VPN 環境中 Stream 和即時活動的特殊考慮。
如需針對中國用戶優化 Microsoft 365 全球租使用者效能的相關信息，請參閱 Microsoft 365 中國使用者的效能優化。

Microsoft建議快速且有效率地改善連線的策略。這牽涉到一些簡單的步驟來更新您的網路路由，讓某些重要端點略過擷取的 VPN 伺服器。藉由在不同層級套用類似或更好的安全性模型，就不需要保護公司網路結束點上的所有流量，而且您可以使用較短且更有效率的網路路徑來路由傳送Microsoft 365 流量。這通常可以在幾小時內完成，並可視需要調整為多個Microsoft 365 個工作負載。

實作 VPN 分割通道

在本文中，您會在 Microsoft 365 的常見 VPN 分割通道案例中找到將 VPN 用戶端架構從 VPN 強制通道移轉至 VPN 強制通道所需的簡單步驟，其中包含一些受信任的例外狀況：VPN 分割通道模型 #2。

下圖說明建議的 VPN 分割通道解決方案如何運作：

分割通道 VPN 解決方案詳細數據。

1. 找出要最佳化的端點

在 Microsoft 365 URL 和IP位址範圍一文中，Microsoft清楚識別優化所需的重要端點，並將它們分類為 Optimize。這小群端點會佔到 Microsoft 365 服務流量的大約 70% - 80%，包括延遲敏感性端點，例如 Teams 媒體的端點。基本上，這是我們需要特別處理的流量，也是會對傳統網路路徑和 VPN 基礎結構施加非常壓力的流量。

此類別中的 URL 具有下列特性：

是 Microsoft 所擁有和管理的端點，並且在 Microsoft 基礎結構上託管
具有特定服務專用的已發佈IP位址
低比率的變更
屬於頻寬和/或延遲敏感型
能夠擁有服務中提供 (而非內嵌在網路上) 的必要安全性元素
占Microsoft 365 服務流量的 70-80% 左右

如需Microsoft 365 端點及其分類和管理方式的詳細資訊，請參閱管理Microsoft 365 端點。

在大部分的情況下，您應該只需要使用瀏覽器 PAC 檔案中的 URL 端點，這些端點會設定為直接傳送，而不會傳送到 Proxy。如果您只需要優化類別的 URL，請使用第一個查詢，或使用第二個查詢作為 IP 前置詞。

最佳化 URL

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.urls} | select -unique -ExpandProperty urls

最佳化 IP 位址範圍

(invoke-restmethod -Uri ("https://endpoints.office.com/endpoints/WorldWide?clientrequestid=" + ([GUID]::NewGuid()).Guid)) | ?{$_.category -eq "Optimize" -and $_.ips} | select -unique -ExpandProperty ips

2.實作Microsoft 365 端點的分割通道

既然我們已找出這些關鍵端點，我們就必須使其避開 VPN 通道，並使其能夠使用使用者的本機網際網路連線直接連線到服務。完成此作業的方式會根據所使用的 VPN 產品和機器平臺而有所不同，但大部分的 VPN 解決方案都允許一些原則設定來套用此邏輯。如需 VPN 平台專屬分割通道指引的資訊，請參閱常見 VPN 平台的 HOWTO 指南。

如果您想要手動測試解決方案，可執行以下 PowerShell 範例，在路由表層級模擬此解決方案。此範例會在路由表中新增每個 Teams 媒體 IP 子網路的路由。您可以在使用 Teams 網路評估工具前後測試 Teams 媒體效能，並觀察指定端點的路由差異。

範例：將 Teams 媒體 IP 子網路新增至路由表

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = " 52.112.0.0/14, 52.122.0.0/15, 2603:1063::/38" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

在上述腳本 中，$intIndex 是連線到因特網的介面索引， (在 PowerShell 中執行 get-netadapter 來尋找;尋找 ifIndex) 的值 ，$gateway是在命令提示字元中執行 ipconfig 或 ( Get-NetIPConfiguration 來尋找該介面的預設網關 (尋找 |Foreach IPv4DefaultGateway) 。 PowerShell) 中的 NextHop。

新增路由之後，您可以在命令提示字元或 PowerShell 中執行 route print，以確認路由表正確無誤。

若要新增 [優化] 類別中所有目前IP位址範圍的路由，您可以使用下列腳本變化來查詢目前一組優化IP子網的 Microsoft 365 IP 和 URL Web 服務，並將其新增至路由表。

範例：將所有最佳化子網路新增至路由表

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

如果不小心使用不正確的參數新增路由，或只想還原您所做的變更，可使用下列命令來移除剛新增的路由：

foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

應設定 VPN 用戶端，讓送至 [最佳化] IP 的流量以這種方式路由傳送。這可讓流量利用本機Microsoft資源，例如Microsoft 365 服務前端，例如 Azure Front Door ，以盡可能提供Microsoft 365 服務和連線端點與您的使用者。這可讓我們將高效能層級傳遞給使用者，無論他們身在何處，並充分利用 Microsoft世界級的全球網路，這可能會在使用者直接輸出的幾毫秒內。