Særlige overvejelser i forbindelse med Teams-hændelser i VPN-miljøer
Bemærk!
Denne artikel er en del af et sæt artikler, der omhandler Microsoft 365-optimering for fjernbrugere.
- Du kan få en oversigt over, hvordan du bruger OPDELT VPN-tunnelføring til at optimere Microsoft 365-forbindelse til fjernbrugere, under Oversigt: VPN-opdelt tunnelføring til Microsoft 365.
- Hvis du vil have en detaljeret vejledning i implementering af VPN-opdelt tunnelføring, skal du se Implementering af VPN-opdelt tunnelføring til Microsoft 365.
- Du kan finde en detaljeret liste over scenarier med opdelt VPN-tunnelføring under Almindelige scenarier med opdelt VPN-tunnelføring til Microsoft 365.
- Du kan finde vejledning i beskyttelse af Teams-medietrafik i VPN-opdelte tunnelføringsmiljøer under Sikring af Teams-medietrafik til VPN-opdelt tunnelføring.
- Du kan få oplysninger om optimering af lejerydeevnen i Microsoft 365 over hele verden for brugere i Kina under Optimering af ydeevnen i Microsoft 365 for brugere i Kina.
Trafik for deltagere i Microsoft Teams-livebegivenheder (dette omfatter deltagere i Teams-producerede livebegivenheder, og dem, der er produceret med en ekstern koder via Teams eller Viva Engage), og Trafik for deltagere på Microsoft Teams Rådhus er i øjeblikket kategoriseret som Standard i forhold til Optimer på URL-adressen/IP-listen for tjenesten. Disse slutpunkter er kategoriseret som Standard , fordi de er hostet på CDN'er, der også kan bruges af andre tjenester. Kunderne foretrækker generelt at proxyere denne type trafik og anvende sikkerhedselementer, der normalt udføres på slutpunkter som disse.
Mange kunder har bedt om den URL-adresse/IP-data, der er nødvendige for at forbinde deres deltagere i Teams-begivenheder direkte fra deres lokale internetforbindelse i stedet for at dirigere den store mængde og ventetidsfølsom trafik via VPN-infrastrukturen. Dette er typisk ikke muligt uden både dedikerede navneområder og nøjagtige IP-oplysninger for slutpunkterne, som ikke er angivet for Microsoft 365-slutpunkter, der er kategoriseret som standard.
Brug følgende trin til at identificere og aktivere direkte forbindelse for deltagertrafik for Teams-hændelser fra klienter, der bruger en tvungen tunnel-VPN. Denne løsning er beregnet til at give kunderne mulighed for at undgå routing af deltagertrafik via VPN, mens der er høj netværkstrafik på grund af arbejds-fra-hjemme-scenarier. Hvis det er muligt, anbefaler vi, at du får adgang til tjenesten via en undersøgelsesproxy.
Bemærk!
Ved hjælp af denne løsning kan der være tjenesteelementer, der ikke svarer til de angivne IP-adresser og dermed gennemgår VPN'en, men størstedelen af trafik med stor mængde, f.eks. streamingdata, bør. Der kan være andre elementer uden for rammerne af livebegivenheder/Stream, der bliver fanget af denne aflastning, men disse bør begrænses, da de skal opfylde både FQDN og IP-kampen, før de går direkte.
Vigtigt!
Vi anbefaler, at du afvejer risikoen for at sende mere trafik, der omgår VPN'en i forhold til ydeevnen for Teams-hændelser.
Hvis du vil implementere den tvungne tunnelundtagelse for Teams-hændelser, skal følgende trin anvendes:
1. Konfigurer ekstern DNS-opløsning
Klienter skal have en ekstern rekursiv DNS-opløsning for at være tilgængelig, så følgende værtsnavne kan oversættes til IP-adresser.
For Commercial-cloudmiljøet :
- *.media.azure.net
- *.bmc.cdn.office.net
- *.ml.cdn.office.net
*.media.azure.net og *.bmc.cdn.office.net bruges til Teams-producerede livebegivenheder (hurtig start-begivenheder og RTMP-In understøttede begivenheder), der er planlagt fra Teams-klienten.
*.media.azure.net, *.bmc.cdn.office.net og *.ml.cdn.office.net bruges til Teams Town hall-arrangementer.
Bemærk!
Nogle af disse slutpunkter deles med andre elementer uden for Teams-hændelser. Vi anbefaler ikke bare at bruge disse navneområder til at konfigurere VPN-aflastning, selvom det teknisk set er muligt i din VPN-løsning (f.eks. hvis det fungerer med navneområdet i stedet for IP).
For government clouds (GCC, GCC High, DoD):
- *.cdn.ml.gcc.teams.microsoft.com
- *.cdn.ml.gov.teams.microsoft.us
- *.cdn.ml.dod.teams.microsoft.us
*.cdn.ml.gcc.teams.microsoft.com bruges til Teams Town hall-begivenheder i Microsoft 365 U.S. Government Community Cloud (GCC).
*.cdn.ml.gov.teams.microsoft.us bruges til Teams Town hall-begivenheder i Microsoft 365 U.S. Government GCC High Cloud (GCC High).
*.cdn.ml.dod.teams.microsoft.us bruges til Teams Town hall-begivenheder i Microsoft 365 US Government DoD Cloud (DoD).
FQDN'er kræves ikke i VPN-konfigurationen, de er udelukkende til brug i PAC-filer i kombination med IP-adresserne for at sende den relevante trafik direkte.
2. Implementer ændringer af PAC-filen (hvis det er nødvendigt)
For organisationer, der bruger en PAC-fil til at dirigere trafik gennem en proxy, mens de er på VPN, opnås dette normalt ved hjælp af FQDN'er. Men med Teams-hændelser indeholder de angivne værtsnavne jokertegn, der fortolkes som IP-adresser, der bruges af CDN'er (Content Delivery Networks), som ikke udelukkende anvendes til Teams-hændelsestrafik. Hvis anmodningen sendes direkte baseret på ET DNS-jokertegnmatch alene, blokeres trafikken til disse slutpunkter, da der ikke er nogen rute via den direkte sti til den i trin 3 senere i denne artikel.
For at løse dette kan vi angive følgende IP-adresser og bruge dem i kombination med værtsnavnene i en eksempel PAC-fil som beskrevet i trin 1. PAC-filen kontrollerer, om URL-adressen stemmer overens med dem, der bruges til Teams-hændelser, og hvis den gør det, kontrollerer den også, om den IP, der returneres fra et DNS-opslag, svarer til dem, der er angivet for tjenesten. Hvis begge matcher, distribueres trafikken direkte. Hvis et af elementerne (FQDN/IP) ikke stemmer overens, sendes trafikken til proxyen. Som et resultat heraf sikrer konfigurationen, at alt, der omsættes til en IP uden for omfanget af både IP og definerede navneområder, gennemgår proxyen via VPN som normalt.
Indsamling af de aktuelle lister over CDN-slutpunkter
I forbindelse med Commercial-clouden bruger Teams-hændelser flere CDN-udbydere til at streame til kunder for at give den bedste dækning, kvalitet og robusthed. I øjeblikket bruges både Azure CDN fra Microsoft og Azure CDN fra Verizon. Med tiden kan dette ændres på grund af situationer som f.eks. regional tilgængelighed. Denne artikel er en kilde, der gør det muligt for dig at holde dig opdateret om IP-intervaller. Kun Azure CDN fra Microsoft bruges til Microsoft 365 U.S. Government-clouds (GCC, GCC High og DoD).
For Commercial-cloudmiljøet :
For Azure CDN fra Microsoft kan du downloade listen fra Download Azure IP Ranges and Service Tags – Public Cloud fra Official Microsoft Download Center – du skal kigge specifikt efter tjenestekoden
AzureFrontdoor.Frontendi JSON. addressPrefixes viser IPv4/IPv6-undernet. Med tiden kan IP-adresserne ændres, men tjenestemærkelisten opdateres altid, før de bruges.For Azure CDN fra Verizon (Edgecast) kan du finde en udtømmende liste ved hjælp af Edge-noder – Liste (vælg Prøv det ) – du skal se specifikt efter afsnittet om Premium_Verizon . Bemærk, at denne API viser alle Edgecast IP-adresser (oprindelse og Anycast). I øjeblikket er der ikke en mekanisme for API'en til at skelne mellem oprindelse og Anycast.
For government-clouds (GCC, GCC High og DoD):
- For Azure CDN fra Microsoft kan du downloade listen fra Download Azure IP Ranges and Service Tags – US Government Cloud fra Official Microsoft Download Center – du skal kigge specifikt efter tjenestekoden
AzureFrontdoor.Frontendi JSON. addressPrefixes viser IPv4/IPv6-undernet. Med tiden kan IP-adresserne ændres, men tjenestemærkelisten opdateres altid, før de bruges.
Følgende script kan generere en PAC-fil, der indeholder navneområder og IP-lister for deltagertrafikken for Teams-begivenheder. Parameteren -Instance bestemmer det angivne miljø – de understøttede værdier er [Worldwide, USGov, USGovGCCHigh og UsGovDoD]. Scriptet kan også inkludere domænerne Optimize og Allow samt ved hjælp af parameteren -Type .
Eksempel på generering af PAC-filer til Commercial-cloudmiljøet
Her er et eksempel på, hvordan du genererer PAC-filen til Commercial-cloudmiljøet:
Gem scriptet på den lokale harddisk som Get-EventsPacFile.ps1.
Gå til Verizon-URL-adressen , og download den resulterende JSON (kopiér indsæt den i en fil med navnet cdnedgenodes.json)
Placer filen i den samme mappe som scriptet.
Kør følgende kommando i et PowerShell-vindue. Hvis du kun ønsker, at optimer navne (og ikke Optimer og Tillad), skal du ændre parameteren -Type til Optimer.
.\Get-EventsPacFile.ps1 -Instance Worldwide -CdnEdgeNodesFilePath .\cdnedgenodes.json -Type OptimizeAndAllow -FilePath .\Commercial.pacFilen Commercial.pac indeholder alle navneområder og IP-adresser (IPv4/IPv6) for trafik for deltagere i Teams-begivenheder.
Eksempel på generering af PAC-filer til Microsoft 365 U.S. Government Community Cloud (GCC)
Her er et eksempel på, hvordan du genererer PAC-filen til GCC-miljøet:
Gem scriptet på den lokale harddisk som Get-EventsPacFile.ps1.
Kør følgende kommando i et PowerShell-vindue. Hvis du kun ønsker, at optimer navne (og ikke Optimer og Tillad), skal du ændre parameteren -Type til Optimer.
.\Get-EventsPacFile.ps1 -Instance UsGov -Type OptimizeAndAllow -FilePath .\USGov.pacFilen USGov.pac indeholder alle navneområder og IP-adresser (IPv4/IPv6), der er specifikke for GCC-cloudmiljøet for Teams Town hall-deltagertrafik.
Get-EventsPacFile.ps1
# Copyright (c) Microsoft Corporation. All rights reserved.
# Licensed under the MIT License.
<#PSScriptInfo
.VERSION 1.0.6
.AUTHOR Microsoft Corporation
.GUID 7f692977-e76c-4582-97d5-9989850a2529
.COMPANYNAME Microsoft
.COPYRIGHT
Copyright (c) Microsoft Corporation. All rights reserved.
Licensed under the MIT License.
.TAGS PAC Microsoft Microsoft365 365
.LICENSEURI
.PROJECTURI http://aka.ms/ipurlws
.ICONURI
.EXTERNALMODULEDEPENDENCIES
.REQUIREDSCRIPTS
.EXTERNALSCRIPTDEPENDENCIES
.RELEASENOTES
#>
<#
.SYNOPSIS
Create a PAC file for Microsoft 365 prioritized connectivity for Teams Events (Live Events, Town hall)
.DESCRIPTION
This script will access updated information to create a PAC file to prioritize Microsoft 365 Urls for
better access to the service. This script will allow you to create different types of files depending
on how traffic needs to be prioritized.
.PARAMETER Instance
The service instance inside Microsoft 365. The default is Worldwide. To specify GCC use the USGov value.
.PARAMETER ClientRequestId
The client request id to connect to the web service to query up to date Urls.
.PARAMETER DirectProxySettings
The direct proxy settings for priority traffic.
.PARAMETER DefaultProxySettings
The default proxy settings for non priority traffic.
.PARAMETER Type
The type of prioritization to give. Valid values are Optimize and OptimizeAndAllow, which are 2 different modes of operation.
These values align to the categories defined in our Principles of Network Connectivity at https://aka.ms/pnc
.PARAMETER Lowercase
Flag this to include lowercase transformation into the PAC file for the host name matching.
.PARAMETER TenantName
The tenant name to replace wildcard Urls in the webservice.
.PARAMETER ServiceAreas
The service areas to filter endpoints by in the webservice.
.PARAMETER FilePath
The file to print the content to.
.EXAMPLE
Get-EventsPacFile.ps1 -Instance Worldwide -CdnEdgeNodesFilePath .\cdnedgenodes.json -Type OptimizeAndAllow -FilePath .\Commercial.pac
.EXAMPLE
Get-EventsPacFile.ps1 -Instance USGov -FilePath .\USGov.pac -Type OptimizeAndAllow
#>
#Requires -Version 2
[CmdletBinding(SupportsShouldProcess = $True)]
Param (
[Parameter()]
[ValidateSet('Worldwide', 'Germany', 'China', 'USGovDoD', 'USGovGCCHigh', 'USGov')]
[String] $Instance = "Worldwide",
[Parameter()]
[ValidateNotNullOrEmpty()]
[guid] $ClientRequestId = [Guid]::NewGuid(),
[Parameter()]
[ValidateNotNullOrEmpty()]
[String] $DirectProxySettings = 'DIRECT',
[Parameter()]
[ValidateNotNullOrEmpty()]
[String] $DefaultProxySettings = 'PROXY 10.10.10.10:8080',
[Parameter()]
[ValidateSet('OptimizeOnly','OptimizeAndAllow')]
[string]
$Type = 'OptimizeOnly',
[Parameter()]
[switch] $Lowercase,
[Parameter()]
[ValidateNotNullOrEmpty()]
[string] $TenantName,
[Parameter()]
[ValidateSet('Exchange', 'SharePoint', 'Common', 'Skype')]
[string[]] $ServiceAreas,
[Parameter()]
[ValidateNotNullOrEmpty()]
[string] $FilePath,
[Parameter()]
[ValidateNotNullOrEmpty()]
[string] $CdnEdgeNodesFilePath
)
##################################################################################################################
### Global constants
##################################################################################################################
$baseServiceUrl = if ($Instance -eq 'USGov') {
"https://endpoints.office.com/endpoints/Worldwide/?ClientRequestId=$ClientRequestId"
} else {
"https://endpoints.office.com/endpoints/$Instance/?ClientRequestId=$ClientRequestId"
}
$directProxyVarName = "direct"
$defaultProxyVarName = "proxyServer"
##################################################################################################################
### Functions to create PAC files
##################################################################################################################
function Get-PacString {
param(
[Parameter(ValueFromPipelineByPropertyName)]
[string[]]
$NonDirectOverrideFqdns,
[Parameter(ValueFromPipelineByPropertyName)]
[string[]]
$DirectFqdns
)
$PACSb = New-Object 'System.Text.StringBuilder'
$null = & {
$PACSb.AppendLine('// This PAC file will provide proxy config to Microsoft 365 services')
$PACSb.AppendLine('// using data from the public web service for all endpoints')
$PACSb.AppendLine('function FindProxyForURL(url, host)')
$PACSb.AppendLine('{')
$PACSb.Append(' var ').Append($directProxyVarName).Append(' = "').Append($DirectProxySettings).AppendLine('";')
$PACSb.Append(' var ').Append($defaultProxyVarName).Append(' = "').Append($DefaultProxySettings).AppendLine('";')
if ($Lowercase) {
$PACSb.AppendLine(' host = host.toLowerCase();')
}
$first = $true
foreach ($fqdn in $NonDirectOverrideFqdns) {
if ($first) {
$PACSb.AppendLine()
$PACSb.AppendLine(' // Force proxy for subdomains of bypassed hosts')
$PACSb.AppendLine()
$PACSb.Append(' if(')
}
else {
$PACSb.AppendLine().Append(' || ')
}
$first = $false
$PACSb.Append('shExpMatch(host, "').Append($fqdn).Append('")')
}
if (!$first) {
$PACSb.AppendLine(')')
$PACSb.AppendLine(' {')
$PACSb.Append(' return ').Append($directProxyVarName).AppendLine(';')
$PACSb.AppendLine(' }')
}
$first = $true
foreach ($fqdn in $DirectFqdns) {
if ($first) {
$PACSb.AppendLine()
$PACSb.AppendLine(' // Bypassed hosts')
$PACSb.AppendLine()
$PACSb.Append(' if(')
}
else {
$PACSb.AppendLine().Append(' || ')
}
$first = $false
$PACSb.Append('shExpMatch(host, "').Append($fqdn).Append('")')
}
if (!$first) {
$PACSb.AppendLine(')')
$PACSb.AppendLine(' {')
$PACSb.Append(' return ').Append($directProxyVarName).AppendLine(';')
$PACSb.AppendLine(' }')
}
if (!$ServiceAreas -or $ServiceAreas.Contains('Skype')) {
$EventsConfig = Get-TeamsEventsConfiguration
if ($EventsConfig.EventsAddressRanges.Count -gt 0) {
$EventsBlock = $EventsConfig | Get-TLEPacConfiguration
$PACSb.AppendLine()
$PACSb.AppendLine($EventsBlock)
}
}
$PACSb.Append(' return ').Append($defaultProxyVarName).AppendLine(';').Append('}')
}
return $PACSb.ToString()
}
##################################################################################################################
### Functions to get and filter endpoints
##################################################################################################################
function Get-TeamsEventsConfiguration {
param()
$IncludedHosts = switch ($Instance) {
'USGov' {
@('*.cdn.ml.gcc.teams.microsoft.com')
break
}
'USGovDoD' {
@('*.cdn.ml.dod.teams.microsoft.us')
break
}
'USGovGCCHigh' {
@('*.cdn.ml.gov.teams.microsoft.us')
break
}
default {
@('*.bmc.cdn.office.net', '*.ml.cdn.office.net', '*.media.azure.net')
break
}
}
$IncludedAddressRanges = & {
if (!$Instance.StartsWith('USGov') -and ![string]::IsNullOrEmpty($CdnEdgeNodesFilePath) -and (Test-Path -Path $CdnEdgeNodesFilePath)) {
Get-Content -Path $CdnEdgeNodesFilePath -Raw -ErrorAction SilentlyContinue | ConvertFrom-Json | Select-Object -ExpandProperty value |
Where-Object { $_.name -eq 'Premium_Verizon' } | Select-Object -First 1 -ExpandProperty properties |
Select-Object -ExpandProperty ipAddressGroups |
ForEach-Object {
$_.ipv4Addresses
$_.ipv6Addresses
} |
Where-Object { $_.BaseIpAddress } |
ForEach-Object { $_.BaseIpAddress + '/' + $_.prefixLength }
}
$ServiceTagsDownloadId = '56519'
if ($Instance.StartsWith('USGov')) {
$ServiceTagsDownloadId = '57063'
}
$AzureIPsUrl = Invoke-WebRequest -Uri "https://www.microsoft.com/en-us/download/confirmation.aspx?id=$ServiceTagsDownloadId" -UseBasicParsing -ErrorAction SilentlyContinue |
Select-Object -ExpandProperty Links | Select-Object -ExpandProperty href |
Where-Object { $_.EndsWith('.json') -and $_ -match 'ServiceTags' } | Select-Object -First 1
if ($AzureIPsUrl) {
Invoke-RestMethod -Uri $AzureIPsUrl -ErrorAction SilentlyContinue | Select-Object -ExpandProperty values |
Where-Object { $_.name -eq 'AzureFrontDoor.Frontend' } | Select-Object -First 1 -ExpandProperty properties |
Select-Object -ExpandProperty addressPrefixes
}
}
[PSCustomObject]@{
EventsHostNames = $IncludedHosts
EventsAddressRanges = $IncludedAddressRanges
}
}
function Get-TLEPacConfiguration {
[CmdletBinding()]
param (
[Parameter(ValueFromPipelineByPropertyName)]
[string[]]
$EventsHostNames,
[Parameter(ValueFromPipelineByPropertyName)]
[string[]]
$EventsAddressRanges
)
if ($EventsAddressRanges.Count -eq 0) {
return ''
}
$TLESb = New-Object 'System.Text.StringBuilder'
$Spaces = ' '
$null = $TLESb.Append($Spaces).AppendLine('// Bypass Teams Events attendee traffic')
$first = $true
$null = foreach ($hostName in $EventsHostNames) {
if ($first) {
$TLESb.AppendLine().Append($Spaces).Append('if(')
}
else {
$TLESb.AppendLine().Append($Spaces).Append(' || ')
}
$first = $false
$TLESb.Append('shExpMatch(host, "').Append($hostName).Append('")')
}
$null = $TLESb.AppendLine(')').Append($Spaces).AppendLine('{')
$Spaces = $Spaces + $Spaces
$null = $TLESb.Append($Spaces).AppendLine('var resolved_ip = dnsResolveEx(host);')
$first = $true
$null = foreach ($addressRange in $EventsAddressRanges) {
if ($first) {
$TLESb.AppendLine().Append($Spaces).Append('if(')
} else {
$TLESb.AppendLine().Append($Spaces).Append(' || ')
}
$first = $false
$TLESb.Append('isInNetEx(resolved_ip, "').Append($addressRange).Append('")')
}
if (!$first) {
$null = $TLESb.AppendLine(')').
Append($Spaces).AppendLine('{').
Append($Spaces).Append(' return ').Append($directProxyVarName).AppendLine(';').
Append($Spaces).AppendLine('}')
}
else {
$null = $TLESb.Append($Spaces).AppendLine('// no addresses found for service via script')
}
return $TLESb.AppendLine(' }').ToString()
}
function Get-Endpoints {
$url = $baseServiceUrl
if ($TenantName) {
$url += "&TenantName=$TenantName"
}
if ($ServiceAreas) {
$url += "&ServiceAreas=" + ($ServiceAreas -Join ",")
}
return Invoke-RestMethod -Uri $url
}
function Get-MapVarUrls {
Write-Verbose "Retrieving all endpoints for instance $Instance from web service."
$Endpoints = Get-Endpoints
$Include = if ($Type -eq 'OptimizeOnly') { @('Optimize') } else { @('Optimize', 'Allow') }
$directUrls = $endpoints |
Where-Object { $_.category -in $Include } |
Where-Object { $_.urls } |
ForEach-Object { $_.urls } |
Sort-Object -Unique
$MatchList = [Collections.Generic.Dictionary[string,Regex]]@{}
$directUrls |
Where-Object { $_.Contains('*') -or $_.Contains('?') } |
ForEach-Object { $MatchList[$_] = [Regex]::new('^{0}$' -f $_.Replace('.','\.').Replace('*','.*').Replace('?','.?'),[Text.RegularExpressions.RegexOptions]::IgnoreCase) }
$nonDirectPriorityUrls = $endpoints |
Where-Object { $_.category -notin $Include } |
Where-Object { $_.urls } |
ForEach-Object { $_.urls } |
Sort-Object -Unique |
Where-Object { [Linq.Enumerable]::Any($MatchList,[Func[System.Collections.Generic.KeyValuePair[string,Regex],bool]]{$args[0].Key -ne $_ -and $args[0].Value.IsMatch($_)}) }
return [PSCustomObject]@{
NonDirectOverrideFqdns = $nonDirectPriorityUrls
DirectFqdns = $directUrls
}
}
##################################################################################################################
### Main script
##################################################################################################################
$content = Get-MapVarUrls | Get-PacString
if ($FilePath) {
$content | Out-File -FilePath $FilePath -Encoding ascii
}
else {
$content
}
Scriptet fortolker automatisk den relevante Azure CDN-liste baseret på værdien af parameteren Instance og nøgler fra AzureFrontDoor.Frontend, så det er ikke nødvendigt at hente den manuelt.
Igen anbefaler vi ikke, at du kun udfører VPN-aflastning ved hjælp af FQDN'erne. Brug af både FQDN'er og IP-adresser i funktionen hjælper med at begrænse brugen af denne aflastning til et begrænset sæt slutpunkter, herunder Teams-hændelser. Den måde, funktionen er struktureret på, medfører, at der udføres et DNS-opslag for det FQDN, der svarer til dem, der er angivet direkte af klienten, dvs. DNS-opløsningen for de resterende navneområder forbliver uændret.
3. Konfigurer routing på VPN'en for at aktivere direkte udgående data
Det sidste trin er at tilføje en direkte rute for Teams-hændelses-IP'er, der er beskrevet i Indsamling af de aktuelle lister over CDN-slutpunkter i VPN-konfigurationen for at sikre, at trafikken ikke sendes via den tvungne tunnel til VPN'en. Du kan finde detaljerede oplysninger om, hvordan du gør dette for Microsoft 365 Optimize-slutpunkter, i afsnittet Implementer VPN-opdelt tunnelføring under Implementering af VPN-opdelt tunnelføring til Microsoft 365. Processen er nøjagtig den samme for de Teams-hændelses-IP-adresser, der er angivet i dette dokument.
Bemærk!
Kun IP-adresserne (ikke FQDN'er) fra Indsamling af de aktuelle lister over CDN-slutpunkter skal bruges til VPN-konfiguration.
Ofte stillede spørgsmål
Sender dette al min trafik direkte til tjenesten?
Nej, dette sender den ventetidsfølsomme streamingtrafik direkte for en Deltager i En Teams-begivenhed. Al anden trafik vil fortsat bruge VPN-tunnellen, hvis de ikke løser de publicerede IP-adresser.
Skal jeg bruge IPv6-adresserne?
Nej, forbindelsen kan kun være IPv4, hvis det er nødvendigt.
Hvorfor publiceres disse IP-adresser ikke i Microsoft 365 URL/IP-tjenesten?
Microsoft har strenge kontrolelementer omkring formatet og typen af oplysninger, der findes i tjenesten, for at sikre, at kunderne pålideligt kan bruge oplysningerne til at implementere sikker og optimal routing baseret på slutpunktskategorien.
Kategorien Standardslutpunkt indeholder ingen IP-oplysninger af flere årsager (Standardslutpunkter kan være uden for Microsofts kontrol, ændres muligvis for ofte, eller de kan være i blokke, der deles med andre elementer). Derfor er standardslutpunkter designet til at blive sendt via FQDN til en inspicerende proxy, f.eks. normal webtrafik.
I dette tilfælde er ovenstående slutpunkter CDN'er, der kan bruges af andre elementer end Teams-hændelser, som ikke styres af Microsoft, og hvis trafik sendes direkte, betyder det også alt andet, der løser disse IP-adresser, der også sendes direkte fra klienten. På grund af den aktuelle globale krises unikke karakter og for at imødekomme vores kunders behov på kort sigt har Microsoft givet ovenstående oplysninger, så kunderne kan bruge dem efter behov.
Microsoft arbejder på at omkonfigurere Teams-hændelsesslutpunkterne for at tillade, at de medtages i kategorierne Tillad/Optimer slutpunkter fremover.
Skal jeg kun tillade adgang til disse IP-adresser?
Nej, adgang til alle de påkrævede markerede slutpunkter for det relevante miljø er afgørende, for at tjenesten kan fungere.
- Verden over, herunder GCC: Slutpunkter for Worldwide
- Microsoft 365 U.S. Government GCC High: Endpoints for GCC High
- Microsoft 365 US Government DoD: Slutpunkter for DoD
Hvilke scenarier dækker dette råd?
- Livebegivenheder, der er produceret i Teams-appen
- Hændelser, der er produceret af en ekstern enhed (koder)
- Teams Rådhus
Dækker dette råd præsentationstrafikken?
Det gør den ikke. ovenstående råd er udelukkende for dem, der deltager i arrangementet. Præsentation fra Teams får vist præsentationsværtens trafik, der flyder til de optimerede markerede UDP-slutpunkter, der er angivet i URL/IP-tjenesterække 11 med detaljerede råd om VPN-aflastning, der er beskrevet i afsnittet Implementer VPN-opdelt tunnelføring under Implementering af VPN-opdelt tunnelføring til Microsoft 365.
Relaterede artikler
Oversigt: VPN-opdelt tunnelføring til Microsoft 365
Implementering af OPDELT VPN-tunnelføring til Microsoft 365
Almindelige scenarier med opdelt VPN-tunnelføring til Microsoft 365
Sikring af Teams-medietrafik til VPN-opdelt tunnelføring
Optimering af ydeevnen i Microsoft 365 for kinabrugere
Principper for Microsoft 365 Network Connectivity
Vurderer Microsoft 365 netværksforbindelse
Microsoft 365-netværk og justering af ydeevne
Kører på VPN: Sådan holder Microsoft sin eksterne arbejdsstyrke tilsluttet