Sdílet prostřednictvím


Správa koncových bodů Microsoftu 365

Většina podnikových organizací, které mají více poboček a připojenou síť WAN, potřebuje konfiguraci pro připojení k síti Microsoft 365. Síť můžete optimalizovat odesíláním všech důvěryhodných síťových požadavků Microsoft 365 přímo přes bránu firewall a obejitím všech dodatečných kontrol nebo zpracování na úrovni paketů. Tím se sníží latence a vaše požadavky na kapacitu hraniční sítě. Identifikace síťového provozu Microsoft 365 je prvním krokem k zajištění optimálního výkonu pro vaše uživatele. Další informace najdete v tématu Principy síťového připojení Microsoftu 365.

Společnost Microsoft doporučuje, abyste přistupovali ke koncovým bodům sítě Microsoft 365 a jejich probíhajícím změnám pomocí webové služby Microsoft 365 IP adresa a adresa URL.

Bez ohledu na to, jak spravujete důležitý síťový provoz Microsoft 365, Microsoft 365 vyžaduje připojení k internetu. Další koncové body sítě, které vyžadují připojení, jsou uvedené v části Další koncové body, které nejsou zahrnuté ve webové službě Ip adresa a adresa URL Microsoftu 365.

Způsob použití koncových bodů sítě Microsoft 365 závisí na síťové architektuře vaší organizace. Tento článek popisuje několik způsobů integrace podnikových síťových architektur s IP adresami a adresami URL Microsoftu 365. Nejjednodušší způsob, jak zvolit, kterým síťovým požadavkům se má důvěřovat, je použít zařízení SD-WAN, která podporují automatickou konfiguraci Microsoftu 365 v každém umístění vaší kanceláře.

SD-WAN pro odchozí přenosy důležitého síťového provozu Microsoftu 365 do místní větve

V každém umístění pobočky můžete poskytnout zařízení SD-WAN, které je nakonfigurované tak, aby směroval provoz pro kategorii koncových bodů Microsoft 365 Optimize nebo Optimize a Allow přímo do sítě Microsoftu. Ostatní síťové přenosy, včetně provozu v místním datacentru, obecného internetového provozu webů a provozu do koncových bodů výchozí kategorie Microsoft 365, se odesílají do jiného umístění, kde máte rozsáhlejší hraniční síť.

Microsoft spolupracuje s poskytovateli SD-WAN na povolení automatizované konfigurace. Další informace najdete v tématu Partner Program Microsoft 365 Networking Partner.

Použití souboru PAC pro přímé směrování důležitého provozu Microsoftu 365

Soubory PAC nebo WPAD slouží ke správě síťových požadavků, které jsou přidružené k Microsoftu 365, ale nemají IP adresu. Typické síťové požadavky, které se odesílají prostřednictvím proxy serveru nebo hraničního zařízení, zvyšují latenci. I když přerušení a kontrola protokolu TLS vytváří největší latenci, jiné služby, jako je ověřování proxy serveru a vyhledávání reputace, můžou způsobit nízký výkon a špatné uživatelské prostředí. Tato hraniční síťová zařízení navíc potřebují dostatečnou kapacitu pro zpracování všech požadavků na síťové připojení. U přímých síťových požadavků Microsoftu 365 doporučujeme obejít proxy nebo kontrolní zařízení.

Get-PacFile galerie PowerShellu je skript PowerShellu, který načítá nejnovější koncové body sítě z webové služby Ip adresy a adresy URL Microsoftu 365 a vytvoří ukázkový soubor PAC. Skript můžete upravit tak, aby se integrl s existující správou souborů PAC.

Poznámka

Další informace o aspektech zabezpečení a výkonu při přímém připojení ke koncovým bodům Microsoftu 365 najdete v tématu Principy síťového připojení Microsoftu 365.

Připojení k Microsoftu 365 prostřednictvím bran firewall a proxy serverů.

Obrázek 1 – Jednoduchý perimetr podnikové sítě

Soubor PAC se nasadí do webových prohlížečů v bodě 1 na obrázku 1. Pokud používáte soubor PAC pro přímý odchozí přenos důležitých síťových přenosů Microsoft 365, musíte také povolit připojení k IP adresám za těmito adresami URL v bráně firewall hraniční sítě. To se provádí načtením IP adres pro stejné kategorie koncových bodů Microsoftu 365, které jsou uvedeny v souboru PAC, a vytvořením seznamů ACL brány firewall založených na těchto adresách. Brána firewall je bod 3 na obrázku 1.

Pokud se rozhodnete provádět přímé směrování pouze pro koncové body kategorie Optimalizace, musí být všechny požadované koncové body kategorie Povolit, které odesíláte na proxy server, uvedeny na proxy serveru, aby bylo možné obejít další zpracování. Například protokol TLS break a Inspect a Proxy Authentication nejsou kompatibilní s koncovými body kategorie Optimalizovat i Povolit. Proxy server je bod 2 na obrázku 1.

Běžnou konfigurací je povolit bez zpracování veškerého odchozího provozu z proxy serveru pro cílové IP adresy pro síťový provoz Microsoftu 365, který zasáhne proxy server. Informace o problémech s protokolem TLS Break and Inspect najdete v tématu Použití síťových zařízení třetích stran nebo řešení při provozu Microsoftu 365.

Existují dva typy souborů PAC, které Get-PacFile skript generuje.

Typ Popis
1
Odešlete provoz optimalizace koncového bodu přímo a vše ostatní na proxy server.
2
Odeslat optimalizaci a povolit přenosy koncového bodu přímo a vše ostatní na proxy server. Tento typ lze také použít k odesílání všech podporovaných přenosů ExpressRoute pro Microsoft 365 do segmentů sítě ExpressRoute a všeho ostatního na proxy server.

Tady je jednoduchý příklad volání skriptu PowerShellu:

Get-PacFile -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7

Existuje mnoho parametrů, které můžete předat do skriptu:

Parametr Popis
ClientRequestId
Toto je povinné a jedná se o identifikátor GUID předaný webové službě, který představuje klientský počítač, který provádí volání.
Instance
Instance služby Microsoft 365, která má výchozí hodnotu Worldwide. To se také předá webové službě.
Název tenanta
Název vašeho tenanta Microsoft 365. Předáno webové službě a v některých adresách URL Microsoftu 365 se používá jako nahraditelný parametr.
Typ
Typ souboru PAC proxy serveru, který chcete vygenerovat.

Tady je další příklad volání powershellového skriptu s více parametry:

Get-PacFile -Type 2 -Instance Worldwide -TenantName Contoso -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7

Obejití zpracování síťového provozu Microsoftu 365 proxy serverem

Pokud se soubory PAC nepoužívají pro přímý odchozí provoz, budete chtít obejít zpracování v hraniční síti konfigurací proxy serveru. Někteří dodavatelé proxy serverů povolili automatickou konfiguraci, jak je popsáno v partnerském programu Microsoft 365 Networking Partner.

Pokud to uděláte ručně, musíte získat data kategorie Optimalizovat a Povolit koncový bod z webové služby IP adresa a adresa URL Microsoftu 365 a nakonfigurovat proxy server tak, aby obešel zpracování těchto dat. U koncových bodů kategorie Optimalizovat a Povolit je důležité se vyhnout přerušení a kontrole ověřování pomocí proxy serveru TLS.

Správa změn PRO IP adresy a adresy URL Microsoftu 365

Kromě výběru vhodné konfigurace pro hraniční síť je důležité, abyste pro koncové body Microsoftu 365 přijali proces správy změn. Tyto koncové body se pravidelně mění. Pokud změny nespravujete, můžete po přidání nové IP adresy nebo adresy URL skončit s blokovanými uživateli nebo s nízkým výkonem.

Změny IP adres a adres URL Microsoftu 365 se obvykle publikují k poslednímu dni v měsíci. Někdy se kvůli provozním, podpůrným nebo bezpečnostním požadavkům publikuje změna mimo tento plán.

Pokud je publikovaná změna, která vyžaduje, abyste reagovali, protože byla přidána IP adresa nebo adresa URL, měli byste očekávat, že obdržíte oznámení 30 dnů od okamžiku, kdy změnu publikujeme, do doby, než bude v daném koncovém bodu služba Microsoftu 365. To se projeví jako datum účinnosti. I když se snažíme o toto období oznámení, nemusí to být vždy možné kvůli provozním požadavkům, požadavkům na podporu nebo zabezpečení. Změny, které nevyžadují okamžitou akci k zachování připojení, jako jsou odebrání IP adres nebo adres URL nebo méně významné změny, nezahrnují předběžné oznámení. V těchto případech není k dispozici žádné datum účinnosti. Bez ohledu na zadané oznámení uvádíme očekávané datum aktivní služby pro každou změnu.

Změna oznámení pomocí webové služby

K získání oznámení o změně můžete použít IP adresu a webovou službu URL Microsoftu 365. Doporučujeme jednou za hodinu volat webovou metodu /version a zkontrolovat verzi koncových bodů, které používáte pro připojení k Microsoftu 365. Pokud se tato verze změní v porovnání s verzí, kterou používáte, měli byste získat nejnovější data koncového bodu z webové metody /endpoints a volitelně získat rozdíly od webové metody /changes . Pokud nedošlo k žádné změně nalezené verze, není nutné volat webové metody /endpoints nebo /changes .

Další informace najdete v tématu Webová služba IP adresy a adresy URL Microsoftu 365.

Změna oznámení pomocí informačních kanálů RSS

Webová služba Ip adresa a adresa URL Microsoftu 365 poskytují informační kanál RSS, ke kterému se můžete přihlásit v Outlooku. Na každé stránce specifické pro instanci služby Microsoft 365 pro IP adresy a adresy URL jsou odkazy na adresy URL rss. Další informace najdete v tématu Webová služba IP adresy a adresy URL Microsoftu 365.

Změna oznámení a kontroly schválení pomocí Power Automate

Chápeme, že i přesto můžete vyžadovat ruční zpracování změn koncových bodů sítě, které přicházejí každý měsíc. Pomocí Power Automate můžete vytvořit tok, který vás upozorní e-mailem a volitelně spustí proces schválení změn, pokud dojde ke změnám v koncových bodech sítě Microsoftu 365. Po dokončení kontroly můžete nechat tok automaticky poslat změny e-mailem týmu pro správu brány firewall a proxy serveru.

Informace o ukázce a šabloně Power Automate najdete v tématu Použití Power Automate k příjmu e-mailů pro změny IP adres a adres URL Microsoftu 365.

Nejčastější dotazy ke koncovým bodům sítě Microsoftu 365

Podívejte se na tyto nejčastější dotazy týkající se síťového připojení Microsoftu 365.

Jak můžu odeslat dotaz?

Výběrem odkazu v dolní části označte, jestli byl článek užitečný nebo ne, a odešlete další otázky. Zpětnou vazbu sledujeme a nejčastější dotazy tady aktualizujeme.

Jak zjistím umístění tenanta?

Umístění tenanta je nejlepší určit pomocí naší mapy datacentra.

Používám vhodný partnerský vztah s Microsoftem?

Umístění partnerského vztahu jsou podrobněji popsaná v tématu Partnerský vztah s Microsoftem.

S více než 2500 partnerskými vztahy isp na celém světě a 70 body přítomnosti by měl být přechod z vaší sítě do naší bezproblémové. Nemůže uškodit strávit několik minut tím, že se budete ujistit, že partnerský vztah vašeho isp je nejoptimálnější. Tady je několik příkladů dobrých a ne tak dobrých partnerských vztahů s naší sítí.

Zobrazují se síťové požadavky na IP adresy, které nejsou na publikovaném seznamu. Musím k nim poskytnout přístup?

Poskytujeme jenom IP adresy pro servery Microsoft 365, na které byste měli směrovat přímo. Toto není úplný seznam všech IP adres, pro které se budou zobrazovat síťové požadavky. Uvidíte síťové požadavky na IP adresy microsoftu a ip adresy vlastněné a nepublikovanými třetími stranami. Tyto IP adresy se dynamicky generují nebo spravují způsobem, který zabraňuje včasnému upozornění na změnu. Pokud vaše brána firewall nemůže povolit přístup k těmto síťovým požadavkům na základě plně kvalifikovaných názvů domén, použijte ke správě požadavků soubor PAC nebo WPAD.

Vidíte IP adresu přidruženou k Microsoftu 365, o které chcete získat další informace?

  1. Pomocí kalkulačky CIDR, například pro IPv4 nebo IPv6 , zkontrolujte, jestli je IP adresa zahrnutá ve větším publikovaném rozsahu. Například 40.96.0.0/13 obsahuje IP adresu 40.103.0.1, přestože 40.96 neodpovídá 40.103.
  2. Pomocí dotazu whois zjistěte, jestli ip adresu vlastní partner. Pokud je vlastněná Microsoftem, může se jednat o interního partnera. Řada koncových bodů partnerské sítě je uvedená jako patřící do výchozí kategorie, pro kterou se IP adresy nepublikují.
  3. IP adresa nemusí být součástí Microsoftu 365 nebo závislostí. Publikování koncových bodů sítě Microsoft 365 nezahrnuje všechny koncové body sítě Microsoftu.
  4. Zkontrolujte certifikát. V prohlížeči se připojte k IP adrese pomocí HTTPS://< IP_ADDRESS> a zkontrolujte domény uvedené v certifikátu, abyste zjistili, jaké domény jsou k IP adrese přidružené. Pokud se jedná o IP adresu vlastněnou Microsoftem a není na seznamu IP adres Microsoftu 365, je pravděpodobně přidružená k síti MICROSOFT CDN, jako je MSOCDN.NET , nebo k jiné doméně Microsoftu bez publikovaných informací o IP adrese. Pokud zjistíte, že doména na certifikátu je ta, ve které tvrdíme, že uvádíme IP adresu, dejte nám prosím vědět.

Některé adresy URL Microsoftu 365 ukazují na záznamy CNAME místo na záznamy A v DNS. Co mám dělat se záznamy CNAME?

Klientské počítače potřebují záznam DNS A nebo AAAA, který obsahuje jednu nebo více IP adres pro připojení ke cloudové službě. Některé adresy URL zahrnuté v Microsoftu 365 zobrazují záznamy CNAME místo záznamů A nebo AAAA. Tyto záznamy CNAME jsou zprostředkující a v řetězu jich může být několik. Vždy se nakonec přeloží na záznam A nebo AAAA pro IP adresu. Představte si například následující řadu záznamů DNS, které se nakonec přeloží na IP adresu IP_1:

serviceA.office.com -> CNAME: serviceA.domainA.com -> CNAME: serviceA.domainB.com -> A: IP_1

Tato přesměrování CNAME jsou běžnou součástí DNS a jsou transparentní pro klientský počítač a transparentní pro proxy servery. Používají se pro vyrovnávání zatížení, sítě pro doručování obsahu, vysokou dostupnost a zmírnění incidentů služeb. Microsoft zprostředkující záznamy CNAME nepublikuje, můžou se kdykoli změnit a neměli byste je na proxy serveru konfigurovat tak, aby byly povolené.

Proxy server ověří počáteční adresu URL, která je v předchozím příkladu serviceA.office.com, a tato adresa URL bude součástí publikování Microsoft 365. Proxy server požádá o překlad DNS této adresy URL na IP adresu a přijme zpět IP_1. Neověřuje zprostředkující záznamy přesměrování CNAME.

Pevně zakódované konfigurace nebo používání seznamu povolených na základě nepřímých plně kvalifikovaných názvů domén Microsoftu 365 nedoporučuje a nepodporuje. Je známo, že způsobují problémy s připojením zákazníka. Řešení DNS, která blokují přesměrování CNAME nebo jinak nesprávně přeloží položky DNS Microsoftu 365, je možné vyřešit pomocí služeb pro předávání DNS s povolenou rekurze DNS nebo pomocí nápovědy ke kořenovému adresáři DNS. Řada produktů hraniční sítě třetích stran nativně integruje doporučený koncový bod Microsoftu 365, aby do své konfigurace zahrnul seznam povolených pomocí webové služby Microsoft 365 IP adresa a adresa URL.

Proč se v názvech domén Microsoftu zobrazují jména jako nsatc.net nebo akadns.net?

Microsoft 365 a další služby Microsoftu používají k vylepšení prostředí Microsoftu 365 několik služeb třetích stran, jako jsou Akamai a MarkMonitor. Abychom vám mohli poskytovat co nejlepší možnosti, můžeme tyto služby v budoucnu změnit. Domény třetích stran můžou hostovat obsah, jako je cdn, nebo můžou hostovat službu, například službu pro správu geografického provozu. Mezi aktuálně používané služby patří:

MarkMonitor se používá, když se zobrazí požadavky, které obsahují *.nsatc.net. Tato služba poskytuje ochranu a monitorování názvů domén, které chrání před škodlivým chováním.

ExactTarget se používá, když se zobrazí požadavky na *.exacttarget.com. Tato služba poskytuje správu e-mailových odkazů a monitorování proti škodlivému chování.

Akamai se používá, když se zobrazí požadavky, které obsahují jeden z následujících plně kvalifikovaných názvů domén. Tato služba nabízí geografické služby DNS a síťové služby pro doručování obsahu.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

Musím mít minimální možné možnosti připojení pro Microsoft 365

Vzhledem k tomu, že Microsoft 365 je sada služeb sestavená tak, aby fungovala přes internet, jsou přísliby spolehlivosti a dostupnosti založené na mnoha dostupných standardních internetových službách. Například standardní internetové služby, jako jsou DNS, CRL a CDN, musí být dostupné, aby mohly používat Microsoft 365, stejně jako musí být dostupné pro použití většiny moderních internetových služeb.

Sada Microsoft 365 je rozdělená do čtyř hlavních oblastí služeb, které představují tři primární úlohy a sadu společných prostředků. Tyto oblasti služeb se dají použít k přidružení toků provozu ke konkrétní aplikaci, ale vzhledem k tomu, že funkce často využívají koncové body napříč několika úlohami, není možné tyto oblasti služeb efektivně použít k omezení přístupu.

Oblast příjmu Popis
Exchange
Exchange Online a Exchange Online Protection
SharePoint
SharePoint Online a OneDrive pro firmy
Online Skype pro firmy a Microsoft Teams
Skype pro firmy a Microsoft Teams
Společný
Microsoft 365 Pro Plus, Office v prohlížeči, Microsoft Entra ID a další běžné koncové body sítě

Kromě základních internetových služeb existují služby třetích stran, které se používají pouze k integraci funkcí. I když jsou tyto služby potřebné pro integraci, jsou v článku o koncových bodech Microsoftu 365 označené jako volitelné. To znamená, že základní funkce služby budou dál fungovat, pokud koncový bod není přístupný. Každý požadovaný koncový bod sítě má požadovaný atribut nastavený na hodnotu true. Každý nepovinný koncový bod sítě má požadovaný atribut nastavený na false a atribut notes podrobně uvádí chybějící funkce, které byste měli očekávat, pokud je připojení blokované.

Pokud se pokoušíte použít Microsoft 365 a zjistíte, že služby třetích stran nejsou přístupné, chcete zajistit, aby všechny plně kvalifikované názvy domén, které jsou v tomto článku označené jako povinné nebo volitelné, byly povolené prostřednictvím proxy serveru a brány firewall.

Jak můžu zablokovat přístup ke službám Microsoftu pro spotřebitele?

Funkce omezení tenanta teď podporuje blokování použití všech uživatelských aplikací Microsoftu (aplikací MSA), jako jsou OneDrive, Hotmail a Xbox.com. Tato funkce používá samostatnou hlavičku koncového bodu login.live.com. Další informace najdete v tématu Použití omezení tenanta ke správě přístupu ke cloudovým aplikacím SaaS.

Brána firewall vyžaduje IP adresy a nemůže zpracovávat adresy URL. Jak ho nakonfiguruji pro Microsoft 365?

Microsoft 365 neposkytuje IP adresy všech požadovaných koncových bodů sítě. Některé jsou k dispozici pouze jako adresy URL a jsou zařazeny do kategorií jako výchozí. Adresy URL ve výchozí kategorii, které jsou povinné, by měly být povolené prostřednictvím proxy serveru. Pokud nemáte proxy server, podívejte se, jak jste nakonfigurovali webové požadavky pro adresy URL, které uživatelé zadává do adresního řádku webového prohlížeče. uživatel nezadá ani IP adresu. Výchozí adresy URL kategorií Microsoftu 365, které neposkytují IP adresy, by měly být nakonfigurované stejným způsobem.

Webová služba Ip adresa a adresa URL Microsoftu 365

Rozsahy IP adres datacentra Microsoft Azure

Microsoft prostor veřejných IP adres

Požadavky na síťovou infrastrukturu pro Microsoft Intune

Adresy URL a rozsahy IP adres Microsoft 365

Principy síťového připojení Microsoftu 365