管理 Microsoft 365 端點
大部分具有多個辦公室位置和連線 WAN 的企業組織都需要設定Microsoft 365 網路連線能力。 您可以直接透過防火牆傳送所有受信任Microsoft 365 網路要求,略過所有額外的封包層級檢查或處理,藉此優化您的網路。 這會降低延遲和您的周邊容量需求。 識別Microsoft 365 網路流量是為使用者提供最佳效能的第一個步驟。 如需詳細資訊,請參閱 Microsoft 365 網路連線原則。
Microsoft建議您使用 Microsoft 365 IP 位址和 URL Web 服務來存取Microsoft 365 網路端點及其持續變更。
不論您如何管理重要的Microsoft 365 網路流量,Microsoft 365 都需要因特網連線。 需要連線的其他網路端點會列在 Microsoft 365 IP 位址和 URL Web 服務中未包含的其他端點。
使用 Microsoft 365 網路端點的方式取決於您的企業組織網路架構。 本文概述企業網路架構可與Microsoft 365 IP 位址和 URL 整合的幾種方式。 若要選擇要信任的網路要求,最簡單的方式是在每個辦公室位置使用支援自動化Microsoft 365 設定的 SD-WAN 裝置。
適用於重要Microsoft 365 網路流量之本機分支輸出的SD-WAN
在每個分公司位置,您可以提供 SD-WAN 裝置,其設定為將Microsoft 365 優化端點類別或優化和允許類別的流量直接路由傳送至Microsoft的網路。 其他網路流量,包括內部部署數據中心流量、一般因特網網站流量,以及Microsoft 365 默認類別端點的流量,都會傳送至您具有更大量網路周邊的另一個位置。
Microsoft正在與 SD-WAN 提供者合作,以啟用自動化設定。 如需詳細資訊,請參閱 Microsoft 365 網路合作夥伴計畫。
使用 PAC 檔案直接路由傳送重要Microsoft 365 流量
使用 PAC 或 WPAD 檔案來管理與 Microsoft 365 相關聯但沒有 IP 位址的網路要求。 一般而言,透過 Proxy 或周邊裝置傳送的網路要求會增加延遲。 雖然 TLS 中斷和檢查會產生最大的延遲,但 Proxy 驗證和信譽查閱等其他服務可能會導致效能不佳和不良的用戶體驗。 此外,這些周邊網路裝置需要足夠的容量來處理所有網路連線要求。 建議您略過 Proxy 或檢查裝置,以直接Microsoft 365 個網路要求。
PowerShell 資源庫 Get-PacFile 是 PowerShell 腳本,可從 Microsoft 365 IP 位址和 URL Web 服務讀取最新的網路端點,並建立範例 PAC 檔案。 您可以修改指令碼,使它與您現有的 PAC 檔案管理整合。
注意事項
如需直接連線到 Microsoft 365 端點的安全性和效能考慮詳細資訊, 請參閱Microsoft 365 網路連線原則。
圖 1 - 簡單的企業網路周邊
PAC 檔案已在圖 1 的第 1 點部署至 Web 瀏覽器。 使用 PAC 檔案直接輸出重要Microsoft 365 網路流量時,您也需要允許連線到網路周邊防火牆上這些 URL 後面的 IP 位址。 若要這麼做,請擷取 PAC 檔案中所指定相同Microsoft 365 端點類別目錄的IP位址,並根據這些位址建立防火牆 ACL。 防火牆是圖 1 中的第 3 點。
另外,如果您選擇只執行優化類別端點的直接路由,則任何必要的允許您傳送至 Proxy 伺服器的類別端點都必須列在 Proxy 伺服器中,才能略過進一步的處理。 例如,TLS break 和 Inspect 和 Proxy Authentication 與 Optimize 和 Allow 類別端點不相容。 Proxy 伺服器是圖 1 中的第 2 點。
常見的設定是允許不處理來自 Proxy 伺服器的所有輸出流量,以取得Microsoft 365 網路流量到達 Proxy 伺服器的目的地 IP 位址。 如需 TLS 中斷和檢查問題的相關信息,請參閱 在 Microsoft 365 流量上使用第三方網路裝置或解決方案。
腳本產生的 PAC 檔案有兩種 Get-PacFile 類型。
類型 | 說明 |
---|---|
1 |
傳送 [最佳化] 端點流量導向,並將其餘項目傳送到 Proxy 伺服器。 |
2 |
傳送 [最佳化] 和 [允許] 端點流量導向,並將其餘項目傳送到 Proxy 伺服器。 此類型也可用來將所有支援的 ExpressRoute 傳送Microsoft 365 流量至 ExpressRoute 網路區段,以及將其他所有流量傳送至 Proxy 伺服器。 |
以下是呼叫 PowerShell 指令碼的簡單範例:
Get-PacFile -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7
您可以將許多參數傳遞至文稿:
參數 | 說明 |
---|---|
ClientRequestId |
這是必要項目,且是傳遞至 Web 服務的 GUID,代表正在進行呼叫的用戶端電腦。 |
Instance |
Microsoft 365 服務實例,預設為全球。 這也會傳遞至 Web 服務。 |
TenantName |
您的Microsoft 365 租用戶名稱。 傳遞至 Web 服務,並在某些Microsoft 365 URL 中當做可取代的參數使用。 |
Type |
您要產生的 Proxy PAC 檔案類型。 |
以下是使用更多參數呼叫 PowerShell 腳稿的另一個範例:
Get-PacFile -Type 2 -Instance Worldwide -TenantName Contoso -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7
Proxy 伺服器略過處理Microsoft 365 網路流量
如果 PAC 檔案不用於直接輸出流量,您仍然想要藉由設定 Proxy 伺服器來略過網路周邊的處理。 某些 Proxy 伺服器廠商已如Microsoft 365 網路合作夥伴計畫 中所述,啟用此功能的自動化設定。
如果您手動執行此動作,您必須從 Microsoft 365 IP 位址和 URL Web 服務取得優化和允許端點類別數據,並將 Proxy 伺服器設定為略過這些項目的處理。 請務必避免優化和允許類別端點的 TLS 中斷和檢查和 Proxy 驗證。
變更Microsoft 365 IP 位址和URL的管理
除了為網路周邊選取適當的設定之外,請務必為Microsoft 365 端點採用變更管理程式。 這些端點會定期變更。 如果您未管理變更,則在新增IP位址或URL之後,最終可能會導致使用者遭到封鎖或效能不佳。
Microsoft 365 IP 位址和 URL 的變更通常會在每個月的最後一天發佈。 有時候,因為作業、支援或安全性需求,變更會在該排程之外發佈。
發佈需要您因新增IP位址或URL而採取動作的變更時,您應該會在發佈變更的30天后收到通知,直到該端點上有Microsoft 365服務為止。 這會反映為生效日期。 雖然我們的目標是此通知期間,但不一定是因為操作、支援或安全性需求所致。 不需要立即採取動作來維護連線能力的變更,例如已移除的IP位址或URL或較不顯著的變更,不包含預先通知。 在這些實例中,不會提供任何生效日期。 無論提供何種通知,我們都會列出每個變更的預期服務生效日期。
使用 Web 服務變更通知
您可以使用 Microsoft 365 IP 位址和 URL Web 服務來取得變更通知。 建議您每小時呼叫 /version Web 方法一次,以檢查您用來連線到 Microsoft 365 的端點版本。 如果此版本相較於您使用的版本有所變更,則應從 /endpoints Web 方法取得最新的端點資料,並選擇性地從 /changes Web 方法取得差異。 如果您找到的版本沒有任何變更,則不需要呼叫 /endpoints 或 / changes Web 方法。
如需詳細資訊, 請參閱 Microsoft 365 IP 位址和 URL Web 服務。
使用 RSS 摘要變更通知
Microsoft 365 IP 位址和 URL Web 服務提供您可以在 Outlook 中訂閱的 RSS 摘要。 IP 位址和 URL 的每個Microsoft 365 服務實例特定頁面上都有 RSS URL 的連結。 如需詳細資訊, 請參閱 Microsoft 365 IP 位址和 URL Web 服務。
使用 Power Automate 變更通知和核准檢閱
我們了解,您可能仍需要手動處理每個月會進行的網路端點變更。 您可以使用Power Automate 建立流程,以透過電子郵件通知您,並在Microsoft 365網路端點有變更時,選擇性地執行變更的核准程式。 檢閱完成之後,您可以讓流程自動將變更以電子郵件傳送到您的防火牆和 Proxy 伺服器管理小組。
如需 Power Automate 範例和範本的相關信息,請參閱 使用 Power Automate 來接收電子郵件,以取得Microsoft 365 IP 位址和 URL 的變更。
Microsoft 365 網路端點常見問題
請參閱有關Microsoft 365 網路連線的常見問題。
如何提交問題?
選取底部的連結,指出文章是否有説明,並提交任何其他問題。 我們會仔細查看意見反應,並以最常見的問題更新這裡的問題。
如何判斷我的租用戶位置?
判斷租用戶位置的最佳方式是使用我們的資料中心地圖。
我與 Microsoft 的對等互連是否適當?
關於對等互連位置,在與 Microsoft 對等互連中有更詳細的說明。
有了全球超過 2500 個 ISP 對等互連關聯性及 70 個網路節點,從您的網路連接到我們的網路應該會非常流暢。 您不妨花幾分鐘確認您 ISP 的對等互連關聯性是最佳狀態,此處提供一些範例供您了解與我們網路的良好及不佳的對等互連遞交機制。
我發現網路要求的目的地 IP 位址不在已發佈清單上,我需要提供存取權給這些 IP 位址嗎?
我們只提供您應該直接路由傳送至之Microsoft 365 伺服器的IP位址。 這不是您會看到網路要求之所有 IP 位址的完整清單。 您會看到對Microsoft和第三方擁有、未發佈的IP位址的網路要求。 這些 IP 位址是以動態方式產生或管理,此方式在變更時不會即時通知。 如果您的防火牆對於這些網路要求無法允許以 FQDN 為基礎的存取,請使用 PAC 或 WPAD 檔案來管理要求。
請參閱與您想要取得詳細資訊的Microsoft 365 相關聯的IP嗎?
- 使用 CIDR 計算工具 (例如用於 IPv4 或 IPv6 的這些) 檢查 IP 位址是否包含在更大的發佈範圍中。 例如,40.96.0.0/13 會包括 IP 位址40.103.0.1,儘管 40.96 不符合40.103。
- 使用 whois 查詢查看合作夥伴是否擁有該 IP。 如果Microsoft擁有,則可能是內部夥伴。 許多合作夥伴網路端點都會列為屬於 預設 類別,而不會發佈IP位址。
- IP 位址可能不是Microsoft 365 或相依性的一部分。 Microsoft 365 網路端點發佈不包含所有Microsoft網路端點。
- 檢查憑證。 使用瀏覽器,使用
https://<IP_address>
聯機到IP位址,並檢查憑證上列出的網域,以瞭解哪些網域與IP位址相關聯。 如果它是Microsoft擁有的IP位址,而不是在Microsoft 365 IP 位址的清單中,則IP位址很可能與Microsoft CDN 相關聯 ,例如 MSOCDN.NET 或其他沒有已發佈IP資訊的Microsoft網域。 如果您發現憑證上的網域確實是我們宣稱有列出 IP 位址的網域,請通知我們。
某些Microsoft 365 URL 指向 CNAME 記錄,而不是 DNS 中的 A 記錄。 我需要對 CNAME 記錄執行什麼動作?
用戶端電腦需要包含一或多個IP位址的 DNS A 或AAAA記錄, () 連線到雲端服務。 Microsoft 365 中包含的某些 URL 會顯示 CNAME 記錄,而不是 A 或 AAAA 記錄。 這些 CNAME 記錄是媒介,而且鏈結中可能有數個。 它們最終一律會解析為IP位址的 A 或AAAA記錄。 例如,請考慮下列一系列的 DNS 記錄,這些記錄最終會解 析為 IP 位址IP_1:
serviceA.office.com -> CNAME: serviceA.domainA.com -> CNAME: serviceA.domainB.com -> A: IP_1
這些 CNAME 重新導向是 DNS 的一般部分,並且對用戶端電腦且對 Proxy 伺服器都是透明的。 它們用於負載平衡、內容傳遞網路、高可用性和服務事件風險降低。 Microsoft不會發佈中繼 CNAME 記錄,它們隨時都可能會變更,而且您不應該在 Proxy 伺服器中設定它們。
Proxy 伺服器會驗證初始 URL,在上述範例中為 serviceA.office.com,而此 URL 會包含在 Microsoft 365 發佈中。 Proxy 伺服器會要求IP位址的該URL DNS解析,並接收回IP_1。 它不會驗證中繼 CNAME 重新導向記錄。
不建議使用硬式編碼設定或根據間接Microsoft 365 FQDN 使用允許清單,Microsoft不支援。 已知會造成客戶連線問題。 封鎖 CNAME 重新導向的 DNS 解決方案,或不正確解析 Microsoft 365 DNS 專案,可以透過已啟用 DNS 遞歸或使用 DNS 根提示的 DNS 轉寄站來解決。 許多第三方網路周邊產品會原生整合建議Microsoft 365 端點,以使用 Microsoft 365 IP 位址和 URL Web 服務,在其設定中包含允許清單。
為什麼 Microsoft 網域名稱內會有 nsatc.net 或 akadns.net 等名稱?
Microsoft 365 和其他Microsoft服務會使用 Akamai 和 MarkMonitor 等數個第三方服務來改善Microsoft 365 體驗。 為了讓您獲得最佳體驗,我們未來可能會變更這些服務。 第三方網域可能會裝載內容,例如CDN,或裝載服務,例如地理流量管理服務。 目前使用中的部分服務包括:
當您看到包含 *.nsatc.net 的要求時,MarkMonitor 正在使用中。 這個服務提供網域名稱保護與監控功能,以防範惡意行為。
當您看到對 *.exacttarget.com 的要求時,ExactTarget 正在使用中。 這個服務提供電子郵件連結管理與監控功能,以防範惡意行為。
當您看到包含下列其中一個 FQDN 的要求,就表示 Akamai 使用中。 這個服務提供地理位置 DNS 及內容傳遞網路服務。
*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net
我必須具備 365 Microsoft連線能力下限
由於 Microsoft 365 是一套建置來透過因特網運作的服務,可靠性和可用性承諾是以許多可用的標準因特網服務為基礎。 例如,DNS、CRL 和 CDN 等標準因特網服務必須能夠連線,才能使用 Microsoft 365,就如同使用大多數新式因特網服務必須能夠連線一樣。
Microsoft 365 套件分成四個主要服務區域,代表三個主要工作負載和一組常見的資源。 這些服務區域可用來建立流量與特定應用程式的關聯,不過,由於功能通常會耗用多個工作負載的端點,因此無法有效地使用這些服務區域來限制存取。
服務區域 | 描述 |
---|---|
Exchange |
Exchange Online 和 Exchange Online Protection |
SharePoint |
SharePoint Online 和商務用 OneDrive |
商務用 Skype Online 和 Microsoft Teams |
商務用 Skype 和 Microsoft Teams |
通用 |
Microsoft 365 專業增強版、瀏覽器中的 Office、Microsoft Entra ID 和其他常見的網路端點 |
除了基本網際網路服務之外,還需要一些只用於整合功能的協力廠商服務。 雖然整合需要這些服務,但會在 Microsoft 365 端點一文中標示為選擇性服務。 這表示,如果無法存取端點,服務的核心功能會繼續運作。 任何必要的網路端點都已將必要屬性設定為 true。 任何選擇性的網路端點都會將必要屬性設定為 false,而且 notes 屬性會詳細說明當連線遭到封鎖時,您應該預期的遺漏功能。
如果您嘗試使用 Microsoft 365,但發現無法存取第三方服務,您想要 確保本文中標示為必要或選擇性的所有 FQDN 都允許透過 Proxy 和防火牆。
如何封鎖對 Microsoft 消費者服務的存取權限?
租使用者限制功能現在支持封鎖所有Microsoft取用者應用程式 (MSA 應用程式) ,例如 OneDrive、Hotmail 和 Xbox.com。 這項功能會使用 login.live.com 端點的個別標頭。 如需詳細資訊,請 參閱使用租使用者限制來管理 SaaS 雲端應用程式的存取權。
我的防火牆需要 IP 位址,且無法處理 URL。 如何? 為 Microsoft 365 設定?
Microsoft 365 不會提供所有必要網路端點的 IP 位址。 某些僅提供 URL,且分類為預設。 默認類別中需要的 URL 應該允許透過 Proxy 伺服器。 如果您沒有 Proxy 伺服器,請查看如何針對使用者在網頁瀏覽器的網址列中輸入的 URL 設定 Web 要求;使用者也不會提供IP位址。 不提供IP位址的Microsoft 365預設類別URL應該以相同方式設定。
相關文章
Microsoft 365 IP 位址和 URL Web 服務