共用方式為

步驟 2. 企業租使用者Microsoft 365的最佳網路功能

  • 發行項

Microsoft 365 企業版包含雲端生產力應用程式,例如 Teams 和 Exchange Online,以及 Microsoft Intune,以及許多Microsoft Azure 的身分識別和安全性服務。 所有這些雲端式服務都依賴來自內部部署網路上用戶端裝置或因特網上任何位置之連線的安全性、效能和可靠性。

若要優化租用戶的網路存取,您需要:

  • 優化內部部署使用者與最接近Microsoft全域網路位置之間的路徑。
  • 針對使用遠端存取 VPN 解決方案的遠端使用者,將Microsoft全域網路的存取優化。
  • 使用 Network Insights 來設計辦公室位置的網路周邊。
  • 使用 Office 365 CDN 將 SharePoint 網站上裝載的特定資產存取優化。
  • 設定 Proxy 和網路邊緣裝置,以透過端點清單略過Microsoft 365 信任流量的處理,並在變更時自動更新清單。

企業內部部署背景工作角色

針對企業網路,您應該藉由啟用用戶端與最接近Microsoft 365 端點之間的最高效能網路存取,來優化用戶體驗。 用戶體驗的品質與使用者所使用的應用程式效能和回應性直接相關。 例如,Microsoft Teams 依賴低延遲,因此用戶通話、會議和共享畫面共同作業都無問題。

網路設計的主要目標應該是減少從用戶端裝置到Microsoft全域網路的 RTT) 來回 (時間,以將延遲降至最低,Microsoft的公用網路骨幹會以低延遲、高可用性雲端應用程式進入點,將所有Microsoft的數據中心相互連線,稱為「前門」,並分散在世界各地。

以下是傳統企業網路的範例。

具有因特網集中存取權的傳統企業網路。

在此圖中,分公司會透過廣域網聯機到中央辦公室 (WAN) 裝置和 WAN 骨幹。 因特網存取是透過中央辦公室網路邊緣的安全性或 Proxy 裝置,以及 ISP) (因特網服務提供者。 在因特網上,Microsoft全球網路在全球各地的區域中有一系列的前門。 組織也可以使用中繼位置來處理額外的封包,併為流量提供安全性。 組織的 Microsoft 365 租用戶位於 Microsoft 全域網路內。

Microsoft 365 雲端服務的這項設定問題如下:

  • 對於分公司的使用者,流量會傳送至非本機前門,增加延遲。
  • 將流量傳送至中繼位置會建立網路髮夾,以對受信任的流量執行重複的封包處理,以增加延遲。
  • 網路邊緣裝置會對信任的流量執行不必要的重複封包處理,增加延遲。

優化Microsoft 365 網路效能並不需要複雜。 您可以遵循幾個關鍵原則,以獲得最佳的效能:

  • 識別Microsoft 365 網路流量,這是目的地為Microsoft雲端服務的信任流量。
  • 允許從用戶連線到 Microsoft 365 的每個位置,將Microsoft 365 網路流量輸出至因特網的本機分支輸出。
  • 避免網路圖釘。
  • 允許Microsoft 365 流量略過 Proxy 和封包檢查裝置。

如果您實作這些原則,您會取得針對 Microsoft 365 優化的企業網路。

針對 Microsoft 365 優化的企業網路。

在此圖中,分公司透過軟體定義的 WAN 裝置 (SDWAN) 裝置擁有自己的因特網連線,這會將受信任的Microsoft 365 流量傳送至區域最接近的前門。 在中央辦公室,信任Microsoft 365 流量會略過安全性或 Proxy 裝置,且不再使用中繼裝置。

以下是優化設定如何解決傳統企業網路的延遲問題:

  • 受信任Microsoft 365 流量會略過 WAN 骨幹,並傳送到所有辦公室的當地前門,以減少延遲。
  • 針對Microsoft 365 信任的流量,會略過執行重複封包處理的網路髮夾,以減少延遲。
  • 執行不必要的重複封包處理的網路邊緣裝置會略過Microsoft 365 信任流量,以減少延遲。

如需詳細資訊, 請參閱 Microsoft 365 網路連線概觀

遠端工作者

如果您的遠端工作者使用傳統的 VPN 用戶端取得貴組織網路的遠端存取權,請確認 VPN 用戶端支援分割通道。 如果沒有分割通道,所有遠端工作流量都會透過 VPN 連線傳送,其中必須將它轉送到您組織的邊緣裝置、進行處理,然後在因特網上傳送。 範例如下。

來自 VPN 用戶端的網路流量 (不含通道)。

在此圖中,Microsoft 365 流量必須透過您的組織進行間接路由,這可以轉送到遠離 VPN 用戶端實體位置的Microsoft全域網路前門。 這種間接路徑可增加網路流量的延遲,並降低整體效能。

您可以利用分割通道設定 VPN 用戶端,以排除透過 VPN 連線傳送到組織網路的特定類型流量。

若要將 Microsoft 365 雲端資源的存取最佳化,請設定分割通道 VPN 用戶端,排除透過 VPN 連線到最佳化類別 Microsoft 365 端點的流量。 如需詳細資訊,請參閱 Office 365 端點類別 目錄和優化類別端點以進行分割通道的 清單

以下是分割通道所產生的流量,其中大部分流向 Microsoft 365 雲端應用程式的流量會略過 VPN 連線。

來自 VPN 用戶端的網路流量 (含通道)。

在此圖中,VPN 用戶端會直接透過因特網傳送和接收重要的Microsoft 365 雲端服務流量,以及傳送到Microsoft全域網路最接近的前端。

如需詳細資訊和指導方針,請參閱使用 VPN 分割通道將遠端使用者的 Office 365 連線能力最佳化

使用 Network Insights

網路深入解析是從Microsoft 365 租使用者收集的效能計量,可協助您為辦公室位置設計網路周邊。 每個深入解析都會針對內部部署使用者存取租使用者的每個地理位置,提供所指定問題效能特性的即時詳細數據。

租使用者可能會顯示兩個租用戶層級的網路深入解析:

以下是每個辦公室位置的特定網路深入解析:

如需詳細資訊, 請參閱 Microsoft 365 Network Insights

Office 365 CDN 的 SharePoint 效能

雲端式內容傳遞網路 (CDN) 可讓您減少載入時間、節省頻寬,以及加快回應速度。 CDN 藉由快取圖形或視訊檔案等靜態資產來改善效能,而這些資產更接近要求它們的瀏覽器,這有助於加速下載並減少延遲。 您可以使用內建的 Office 365 內容傳遞網路 (包含在 Microsoft 365 E3 和 E5 中 SharePoint 的 CDN) ,來裝載靜態資產,為您的 SharePoint 頁面提供更佳的效能。

Office 365 CDN 是由可讓您在多個位置或來源主控靜態資產的多個 CDN 組成,並透過全球高速網路提供資產。 根據您想要在 Office 365 CDN 中裝載的內容種類,您可以新增 用來源、 私人 來源或兩者。

部署和設定時,Office 365 CDN 會上傳來自公用和私人來源的資產,並讓這些資產能夠快速存取因特網上的使用者。

為使用者部署的 Office 365 CDN。

如需詳細資訊,請 參閱搭配 SharePoint Online 使用 Office 365 CDN

自動化端點清單

若要讓內部部署用戶端、邊緣裝置和雲端式封包分析服務略過受信任Microsoft 365 流量的處理,您必須使用一組端點 (IP 位址範圍和 DNS 名稱,) 對應至Microsoft 365 服務。 您可以在防火牆和其他邊緣安全性裝置、用戶端計算機用來略過 Proxy 的 PAC 檔案,或分公司的 SD-WAN 裝置中手動設定這些端點。 不過,端點會隨著時間而變更,需要在這些位置中持續手動維護端點清單。

若要自動化用戶端 PAC 檔案和網路裝置中Microsoft 365 端點的清單和變更管理,請使用 Office 365 IP 位址和 URL REST 型 Web 服務。 此服務可協助您更妥善地識別和區分Microsoft 365 網路流量,讓您更輕鬆地評估、設定及掌握最新的變更。

您可以使用PowerShell、Python或其他語言來判斷一段時間對端點所做的變更,並設定 PAC 檔案和邊緣網路裝置。

基本程式如下:

  1. 使用 Office 365 IP 位址和 URL Web 服務,以及您選擇的設定機制,以目前的一組Microsoft 365 端點來設定 PAC 檔案和網路裝置。
  2. 執行每日週期性檢查端點中的變更,或使用通知方法。
  3. 偵測到變更時,重新產生並重新發佈用戶端計算機的 PAC 檔案,並變更您的網路裝置。

如需詳細資訊,請參閱 Office 365 IP 位址和 URL Web 服務

步驟 2 的結果

針對具有最佳網路功能的 Microsoft 365 租使用者,您已決定:

  • 如何將因特網連線新增至所有分公司,並消除網路圖釘,以優化內部部署用戶的網路效能。
  • 如何為用戶端型 PAC 檔案和網路裝置和服務實作自動化受信任端點清單,包括最適合企業網路) (進行中的更新。
  • 如何支援遠端工作者存取內部部署資源。
  • 如何使用 Network Insights
  • 如何部署 Office 365 CDN。

以下是具有最佳網路的企業組織及其租用戶範例。

具有最佳網路功能的租用戶範例。

在此圖中,此企業組織的租使用者具有:

  • 每個分公司的本機因特網存取,其 SDWAN 裝置會將受信任Microsoft 365 流量轉送到本機前門。
  • 沒有網路圖釘。
  • 將Microsoft 365 信任流量轉送到本機前門的中央辦公室安全性和 Proxy Edge 裝置。

進行中維護以達到最佳網路功能

您可能需要持續進行:

  • 更新邊緣裝置和已部署的 PAC 檔案,以取得端點中的變更,或確認您的自動化程式正常運作。
  • 在 Office 365 CDN 中管理您的資產。
  • 更新 VPN 用戶端中的分割通道設定,以取得端點的變更。

下一步

步驟 3.同步您的身分識別並強制執行安全登入。

繼續使用 身分識別 來同步處理您的內部部署帳戶和群組,並強制執行安全的使用者登入。