Administration af Microsoft 365-slutpunkter
De fleste virksomhedsorganisationer, der har flere kontorplaceringer og et WAN, der opretter forbindelse, skal konfigureres til Microsoft 365-netværksforbindelsen. Du kan optimere dit netværk ved at sende alle microsoft 365-netværksanmodninger, der er tillid til, direkte gennem din firewall og omgå al ekstra kontrol eller behandling på pakkeniveau. Dette reducerer ventetiden og kravene til perimeterkapaciteten. Identificering af Microsoft 365-netværkstrafik er det første skridt til at levere optimal ydeevne for dine brugere. Du kan få flere oplysninger under Principper for Microsoft 365 Network Connectivity.
Microsoft anbefaler, at du får adgang til Microsoft 365-netværksslutpunkter og igangværende ændringer af dem ved hjælp af Microsoft 365 IP-adresse og URL-webtjeneste.
Uanset hvordan du administrerer vigtig Microsoft 365-netværkstrafik, kræver Microsoft 365 internetforbindelse. Andre netværksslutpunkter, hvor der kræves forbindelse, er angivet under Yderligere slutpunkter, der ikke er inkluderet i Microsoft 365 IP-adresse og URL-webtjeneste.
Den måde, du bruger Microsoft 365-netværksslutpunkter på, afhænger af virksomhedens netværksarkitektur. I denne artikel beskrives flere måder, som virksomhedsnetværksarkitekturer kan integreres med Microsoft 365-IP-adresser og URL-adresser på. Den nemmeste måde at vælge, hvilke netværksanmodninger du har tillid til, er at bruge SD-WAN-enheder, der understøtter automatiseret Microsoft 365-konfiguration på hver af dine kontorplaceringer.
SD-WAN til udgående lokal forgrening af vigtig Microsoft 365-netværkstrafik
På hver placering af forgreningskontor kan du angive en SD-WAN-enhed, der er konfigureret til at dirigere trafik til Microsoft 365 Optimer kategori af slutpunkter eller Optimer og Tillad-kategorier direkte til Microsofts netværk. Anden netværkstrafik, herunder datacentertrafik i det lokale miljø, generel trafik på websteder og trafik til Microsoft 365 Standardkategorislutpunkter, sendes til en anden placering, hvor du har en mere omfattende netværksperimeter.
Microsoft arbejder med SD-WAN-udbydere for at aktivere automatiseret konfiguration. Du kan finde flere oplysninger i Microsoft 365 Networking Partner Program.
Brug en PAC-fil til direkte routing af vigtig Microsoft 365-trafik
Brug PAC- eller WPAD-filer til at administrere netværksanmodninger, der er knyttet til Microsoft 365, men som ikke har en IP-adresse. Typiske netværksanmodninger, der sendes via en proxy- eller perimeterenhed, øger ventetiden. Mens TLS Break og Inspect opretter den største ventetid, kan andre tjenester, f.eks. proxygodkendelse og omdømmeopslag, medføre dårlig ydeevne og en dårlig brugeroplevelse. Derudover skal disse perimeternetværksenheder have tilstrækkelig kapacitet til at behandle alle anmodninger om netværksforbindelse. Vi anbefaler, at du springer din proxy eller kontrolenheder over for direkte Microsoft 365-netværksanmodninger.
PowerShell Gallery Get-PacFile er et PowerShell-script , der læser de nyeste netværksslutpunkter fra Microsoft 365 IP-adressen og URL-webtjenesten og opretter et eksempel på en PAC-fil. Du kan ændre scriptet, så det kan integreres med din eksisterende PAC-filadministration.
Bemærk!
Du kan finde flere oplysninger om overvejelser om sikkerhed og ydeevne i forbindelse med direkte forbindelse til Microsoft 365-slutpunkter under Principper for Microsoft 365 Network Connectivity.
Figur 1 – Simpel netværksperimeter til virksomheder
PAC-filen installeres i webbrowsere på punkt 1 i Figur 1. Når du bruger en PAC-fil til direkte udgående vigtige Microsoft 365-netværkstrafik, skal du også tillade forbindelse til IP-adresserne bag disse URL-adresser på din firewall til netværksperimeter. Dette gøres ved at hente IP-adresserne for de samme Microsoft 365-slutpunktskategorier som angivet i PAC-filen og oprette firewall-ACL'er baseret på disse adresser. Firewallen er punkt 3 i Figur 1.
Hvis du vælger kun at udføre direkte routing for kategorislutpunkterne Optimer, skal alle påkrævede Tillad kategorislutpunkter, du sender til proxyserveren, angives på proxyserveren for at tilsidesætte yderligere behandling. TLS-afbrydelses- og Inspektions- og Proxygodkendelse er f.eks. ikke kompatibel med både kategorislutpunkterne Optimer og Tillad. Proxyserveren er punkt 2 i Figur 1.
Den almindelige konfiguration er at tillade uden at behandle al udgående trafik fra proxyserveren for destinations-IP-adresserne for Den Microsoft 365-netværkstrafik, der rammer proxyserveren. Du kan finde oplysninger om problemer med TLS Break and Inspect under Brug af netværksenheder eller løsninger fra tredjepart på Microsoft 365-trafik.
Der er to typer PAC-filer, som Get-PacFile scriptet genererer.
Type | Beskrivelse |
---|---|
1 |
Send Optimer slutpunktstrafik direkte og alt andet til proxyserveren. |
2 |
Send Optimer og Tillad direkte trafik for slutpunkter og alt andet til proxyserveren. Denne type kan også bruges til at sende al understøttet ExpressRoute for Microsoft 365-trafik til ExpressRoute-netværkssegmenter og alt andet til proxyserveren. |
Her er et simpelt eksempel på kald af PowerShell-scriptet:
Get-PacFile -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7
Der er mange parametre, du kan overføre til scriptet:
Parameter | Beskrivelse |
---|---|
ClientRequestId |
Dette er påkrævet, og er et GUID, der overføres til webtjenesten, som repræsenterer den klientcomputer, der foretager opkaldet. |
Eksempel |
Forekomsten af Microsoft 365-tjenesten, som som standard er Verdensomspændende. Dette overføres også til webtjenesten. |
Lejernavn |
Dit Microsoft 365-lejernavn. Overføres til webtjenesten og bruges som en erstatningsparameter i nogle Microsoft 365 URL-adresser. |
Type |
Den proxy-PAC-filtype, du vil generere. |
Her er et andet eksempel på kald af PowerShell-scriptet med flere parametre:
Get-PacFile -Type 2 -Instance Worldwide -TenantName Contoso -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7
Proxyserveren tilsidesætter behandlingen af Microsoft 365-netværkstrafik
Hvis PAC-filer ikke bruges til direkte udgående trafik, vil du stadig omgå behandlingen af netværksperimeteren ved at konfigurere proxyserveren. Nogle proxyserverleverandører har aktiveret automatisk konfiguration af dette som beskrevet i Microsoft 365 Networking Partner Program.
Hvis du gør dette manuelt, skal du hente kategoridataene Optimer og Tillad slutpunkt fra Microsoft 365 IP-adresse og URL-webtjeneste og konfigurere proxyserveren til at tilsidesætte behandlingen af disse. Det er vigtigt at undgå TLS-afbrydelses- og kontrol- og proxygodkendelse for slutpunkterne Optimer og Tillad kategori.
Ændringsstyring for Microsoft 365 IP-adresser og URL-adresser
Ud over at vælge en passende konfiguration for din netværksperimeter er det vigtigt, at du anvender en proces til administration af ændringer for Microsoft 365-slutpunkter. Disse slutpunkter ændres regelmæssigt. Hvis du ikke administrerer ændringerne, kan du ende med brugere, der er blokeret, eller med dårlig ydeevne, når der tilføjes en ny IP-adresse eller URL-adresse.
Ændringer af Microsoft 365-IP-adresser og URL-adresser udgives normalt nær den sidste dag i hver måned. Nogle gange udgives en ændring uden for denne tidsplan på grund af driftsmæssige, support- eller sikkerhedskrav.
Når der publiceres en ændring, der kræver, at du handler, fordi der er tilføjet en IP-adresse eller URL-adresse, bør du forvente at modtage 30 dages varsel fra det tidspunkt, hvor vi publicerer ændringen, indtil der er en Microsoft 365-tjeneste på det pågældende slutpunkt. Dette afspejles som ikrafttrædelsesdatoen. Selvom vi tilstræber denne meddelelsesperiode, er det muligvis ikke altid muligt på grund af driftsmæssige, support- eller sikkerhedskrav. Ændringer, der ikke kræver øjeblikkelig handling for at opretholde forbindelsen, f.eks. fjernede IP-adresser eller URL-adresser eller mindre betydelige ændringer, omfatter ikke forhåndsmeddelelse. I disse tilfælde er der ikke angivet nogen ikrafttrædelsesdato. Uanset hvilken meddelelse der er angivet, angiver vi den forventede aktive tjenestedato for hver ændring.
Skift meddelelse ved hjælp af webtjenesten
Du kan bruge Microsoft 365 IP-adresse og URL-webtjeneste til at få besked om ændringer. Vi anbefaler, at du kalder webmetoden /version én gang i timen for at kontrollere versionen af de slutpunkter, du bruger til at oprette forbindelse til Microsoft 365. Hvis denne version ændres sammenlignet med den version, du har i brug, skal du hente de nyeste slutpunktsdata fra webmetoden /endpoints og eventuelt hente forskellene fra webmetoden /changes . Det er ikke nødvendigt at kalde webmetoderne /endpoints eller /changes , hvis der ikke har været nogen ændring af den version, du har fundet.
Du kan finde flere oplysninger under Microsoft 365 IP-adresse og URL-webtjeneste.
Skift meddelelse ved hjælp af RSS-kilder
Microsoft 365-IP-adressen og URL-webtjenesten leverer et RSS-feed, som du kan abonnere på i Outlook. Der er links til RSS-URL-adresserne på hver af de microsoft 365-tjenesteforekomstspecifikke sider for IP-adresserne og URL-adresserne. Du kan finde flere oplysninger under Microsoft 365 IP-adresse og URL-webtjeneste.
Skift anmeldelse og godkendelsesgennemgang ved hjælp af Power Automate
Vi er klar over, at du muligvis stadig har brug for manuel behandling af ændringer af netværksslutpunkter, der foretages hver måned. Du kan bruge Power Automate til at oprette et flow, der giver dig besked via mail og eventuelt kører en godkendelsesproces for ændringer, når Microsoft 365-netværksslutpunkter har ændringer. Når gennemgangen er fuldført, kan du få flowet til automatisk at sende ændringerne til firewall- og proxyserveradministrationsteamet via mail.
Du kan finde oplysninger om et eksempel på og en skabelon i Power Automate under Brug Power Automate til at modtage en mail for ændringer af Microsoft 365 IP-adresser og URL-adresser.
Ofte stillede spørgsmål om Microsoft 365-netværksslutpunkter
Se disse ofte stillede spørgsmål om Microsoft 365-netværksforbindelse.
Hvordan sender jeg et spørgsmål?
Vælg linket nederst for at angive, om artiklen var nyttig eller ej, og send flere spørgsmål. Vi overvåger feedbacken og opdaterer spørgsmålene her med de oftest stillede.
Hvordan bestemmer jeg min lejers placering?
Lejerens placering bestemmes bedst ved hjælp af vores datacenterkort.
Er jeg peering passende med Microsoft?
Peeringplaceringer beskrives mere detaljeret i peering med Microsoft.
Med over 2500 ISP-peering-relationer globalt og 70 punkters tilstedeværelse bør det være problemfrit at komme fra dit netværk til vores. Det kan ikke skade at bruge et par minutter på at sikre, at internetudbyderens peering-relation er den mest optimale. Her er nogle eksempler på gode og ikke så gode peering-afleveringer til vores netværk.
Jeg kan se netværksanmodninger til IP-adresser, der ikke er på den publicerede liste. Skal jeg give adgang til dem?
Vi leverer kun IP-adresser til de Microsoft 365-servere, du skal distribuere direkte til. Dette er ikke en omfattende liste over alle de IP-adresser, du får vist netværksanmodninger for. Du får vist netværksanmodninger til Microsoft og tredjepartsejede, ikke-publicerede IP-adresser. Disse IP-adresser genereres eller administreres dynamisk på en måde, der forhindrer rettidig varsel, når de ændres. Hvis din firewall ikke kan tillade adgang baseret på FQDN'er for disse netværksanmodninger, skal du bruge en PAC- eller WPAD-fil til at administrere anmodningerne.
Se en IP-adresse, der er knyttet til Microsoft 365, som du vil have flere oplysninger om?
- Kontrollér, om IP-adressen er inkluderet i et større udgivet område ved hjælp af en CIDR-beregner, f.eks. disse for IPv4 eller IPv6. 40.96.0.0/13 indeholder f.eks. IP-adressen 40.103.0.1, selvom 40.96 ikke stemmer overens med 40.103.
- Se, om en partner ejer IP-adressen med en whois-forespørgsel. Hvis microsoft ejes, kan det være en intern partner. Mange partnernetværksslutpunkter er angivet som hører til standardkategorien , hvor IP-adresser ikke publiceres.
- IP-adressen er muligvis ikke en del af Microsoft 365 eller en afhængighed. Publicering af netværksslutpunkter i Microsoft 365 indeholder ikke alle Microsoft-netværksslutpunkter.
- Kontrollér certifikatet. Med en browser kan du oprette forbindelse til IP-adressen ved hjælp af HTTPS://< IP_ADDRESS> og kontrollere de domæner, der er angivet på certifikatet, for at forstå, hvilke domæner der er knyttet til IP-adressen. Hvis det er en Microsoft-ejet IP-adresse og ikke på listen over Microsoft 365-IP-adresser, er det sandsynligt, at IP-adressen er knyttet til et Microsoft CDN, f.eks . MSOCDN.NET eller et andet Microsoft-domæne uden publicerede IP-oplysninger. Hvis du finder domænet på certifikatet er et, hvor vi hævder at angive IP-adressen, skal du fortælle os det.
Nogle Microsoft 365 URL-adresser peger på CNAME-poster i stedet for A-poster i DNS. Hvad har jeg at gøre med CNAME-posterne?
Klientcomputere skal bruge en DNS A- eller AAAA-post, der indeholder en eller flere IP-adresser, for at oprette forbindelse til en cloudtjeneste. Nogle URL-adresser, der er inkluderet i Microsoft 365, viser CNAME-poster i stedet for A- eller AAAA-poster. Disse CNAME-poster er mellemliggende, og der kan være flere i en kæde. De vil altid med tiden løse problemet med en A- eller AAAA-post for en IP-adresse. Overvej f.eks. følgende serie DNS-poster, der i sidste ende fortolkes som IP-adressen IP_1:
serviceA.office.com -> CNAME: serviceA.domainA.com -> CNAME: serviceA.domainB.com -> A: IP_1
Disse CNAME-omdirigeringer er en normal del af DNS og er gennemsigtige for klientcomputeren og gennemsigtige for proxyservere. De bruges til belastningsjustering, netværk til levering af indhold, høj tilgængelighed og afhjælpning af tjenestehændelser. Microsoft publicerer ikke de mellemliggende CNAME-poster, de kan ændres når som helst, og du skal ikke konfigurere dem som tilladt på din proxyserver.
En proxyserver validerer den oprindelige URL-adresse, som i ovenstående eksempel er serviceA.office.com, og denne URL-adresse medtages i Microsoft 365-publicering. Proxyserveren anmoder om DNS-opløsning for den pågældende URL-adresse til en IP-adresse og modtager IP_1 igen. Den validerer ikke de mellemliggende CNAME-omdirigeringsposter.
Hard-coded konfigurationer eller brug af en allowlist baseret på indirekte Microsoft 365 FQDN'er anbefales ikke og understøttes ikke af Microsoft. De er kendt for at forårsage problemer med kundeforbindelsen. DNS-løsninger, der blokerer ved CNAME-omdirigering, eller som på anden måde løser Microsoft 365 DNS-poster forkert, kan løses via DNS-videresendere med AKTIVERET DNS-rekursion eller ved hjælp af DNS-rodtip. Mange perimeterprodukter fra tredjepart integrerer oprindeligt det anbefalede Microsoft 365-slutpunkt for at inkludere en allowlist i deres konfiguration ved hjælp af Microsoft 365 IP-adresse og URL-webtjeneste.
Hvorfor kan jeg se navne som nsatc.net eller akadns.net i Microsofts domænenavne?
Microsoft 365 og andre Microsoft-tjenester bruger flere tredjepartstjenester, f.eks. Akamai og MarkMonitor, til at forbedre din Microsoft 365-oplevelse. Hvis du vil blive ved med at give dig den bedst mulige oplevelse, kan vi ændre disse tjenester i fremtiden. Tredjepartsdomæner kan være vært for indhold, f.eks. et CDN, eller de kan hoste en tjeneste, f.eks. en geografisk trafikstyringstjeneste. Nogle af de tjenester, der aktuelt er i brug, omfatter:
MarkMonitor er i brug, når du får vist anmodninger, der indeholder *.nsatc.net. Denne tjeneste yder beskyttelse mod domænenavne og overvågning for at beskytte mod skadelig adfærd.
ExactTarget bruges, når du ser anmodninger om *.exacttarget.com. Denne tjeneste leverer administration af maillink og overvågning mod skadelig adfærd.
Akamai er i brug, når du får vist anmodninger, der indeholder en af følgende FQDN'er. Denne tjeneste tilbyder geo-DNS og netværkstjenester til levering af indhold.
*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net
Jeg skal have den mindste mulige forbindelse til Microsoft 365
Da Microsoft 365 er en pakke af tjenester, der er bygget til at fungere via internettet, er løfterne om pålidelighed og tilgængelighed baseret på, at mange standardinternettjenester er tilgængelige. Standardinter internettjenester som DNS, CRL og CDN'er skal f.eks. være tilgængelige for at bruge Microsoft 365, ligesom de skal være tilgængelige for at bruge de fleste moderne internettjenester.
Microsoft 365-pakken er opdelt i fire overordnede tjenesteområder, der repræsenterer de tre primære arbejdsbelastninger og et sæt almindelige ressourcer. Disse tjenesteområder kan bruges til at knytte trafikflow til et bestemt program, men da funktioner ofte bruger slutpunkter på tværs af flere arbejdsbelastninger, kan disse tjenesteområder ikke effektivt bruges til at begrænse adgangen.
Tjenesteområde | Beskrivelse |
---|---|
Exchange |
Exchange Online- og Exchange Online Protection |
SharePoint |
SharePoint Online og OneDrive for Business |
Skype for Business Online og Microsoft Teams |
Skype for Business og Microsoft Teams |
Fælles |
Microsoft 365 Pro Plus, Office i en browser, Microsoft Entra ID og andre almindelige netværksslutpunkter |
Ud over grundlæggende internettjenester er der tredjepartstjenester, der kun bruges til at integrere funktionalitet. Selvom disse tjenester er nødvendige til integration, er de markeret som valgfrie i artiklen Microsoft 365-slutpunkter. Det betyder, at kernefunktionaliteten i tjenesten fortsat fungerer, hvis slutpunktet ikke er tilgængeligt. Alle netværksslutpunkter, der kræves, har den påkrævede attribut angivet til sand. Alle netværksslutpunkter, der er valgfrie, har den påkrævede attribut angivet til falsk, og noteattributten indeholder oplysninger om den manglende funktionalitet, du bør forvente, hvis forbindelsen blokeres.
Hvis du forsøger at bruge Microsoft 365 og finder ud af, at tredjepartstjenester ikke er tilgængelige, skal du sikre dig, at alle FQDN'er, der er markeret som påkrævede eller valgfrie i denne artikel, er tilladt via proxyen og firewallen.
Hvordan blokerer jeg adgang til Microsofts forbrugertjenester?
Funktionen med lejerbegrænsninger understøtter nu blokering af brugen af alle Microsoft-forbrugerprogrammer (MSA-apps), f.eks. OneDrive, Hotmail og Xbox.com. Denne funktion bruger en separat header til login.live.com slutpunkt. Du kan få flere oplysninger under Brug lejerbegrænsninger til at administrere adgang til SaaS-cloudprogrammer.
Min firewall kræver IP-adresser og kan ikke behandle URL-adresser. Hvordan konfigurerer jeg den til Microsoft 365?
Microsoft 365 leverer ikke IP-adresser på alle påkrævede netværksslutpunkter. Nogle er kun angivet som URL-adresser og er kategoriseret som standard. URL-adresser i standardkategorien, der kræves, skal tillades via en proxyserver. Hvis du ikke har en proxyserver, kan du se, hvordan du har konfigureret webanmodninger for URL-adresser, som brugerne skriver i adresselinjen i en webbrowser. Brugeren angiver heller ikke en IP-adresse. Url-adresserne til Microsoft 365-standardkategorier, der ikke indeholder IP-adresser, skal konfigureres på samme måde.
Relaterede artikler
Microsoft 365 IP-adresse og URL-webtjeneste
IP-intervaller for Microsoft Azure Datacenter
Krav til netværksinfrastruktur til Microsoft Intune