Prinzipien von Microsoft 365-Netzwerkverbindungen

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Bevor Sie mit der Planung Ihres Netzwerks für die Microsoft 365-Netzwerkkonnektivität beginnen, ist es wichtig, die Konnektivitätsprinzipien für die sichere Verwaltung von Microsoft 365-Datenverkehr und das Erzielen der bestmöglichen Leistung zu verstehen. Dieser Artikel hilft Ihnen, die neuesten Anleitungen zur sicheren Optimierung der Microsoft 365-Netzwerkkonnektivität zu verstehen.

Herkömmliche Unternehmensnetzwerke sind in erster Linie für den Zugriff von Benutzern auf Anwendungen und Daten ausgelegt, die in unternehmenseigenen Rechenzentren mit hoher Perimetersicherheit gehostet werden. Das herkömmliche Modell setzt voraus, dass Benutzer auf Anwendungen und Daten innerhalb des Perimeters des Unternehmensnetzwerks über WAN-Links von Zweigniederlassungen aus oder remote über VPN-Verbindungen zugreifen.

Durch die Einführung von SaaS-Anwendungen wie Microsoft 365 wird eine Kombination aus Diensten und Daten aus dem Netzwerkperimeter heraus verlagert. Ohne Optimierung wird der Datenverkehr zwischen Benutzern und SaaS-Anwendungen durch Latenzen durch die Paketüberprüfung, Spitzkehren für Netzwerke, versehentliche Verbindungen zu geographisch entfernten Endpunkten und andere Faktoren beeinträchtigt. Sie können die optimale Leistung und Zuverlässigkeit von Microsoft 365 sicherstellen, wenn Sie die wichtigsten Optimierungsrichtlinien kennen und implementieren.

In diesem Artikel erfahren Sie mehr über Folgendes:

Microsoft 365-Architektur

Microsoft 365 ist eine verteilte SaaS-Cloud (Software-as-a-Service), die Produktivitäts- und Zusammenarbeitsszenarien über eine Vielzahl von Microservices und Anwendungen bietet. Beispiele hierfür sind Exchange Online, SharePoint Online, Skype for Business Online, Microsoft Teams, Exchange Online Protection, Office in einem Browser und viele andere. Während bestimmte Microsoft 365-Anwendungen über ihre einzigartigen Features verfügen, da sie für das Kundennetzwerk und die Konnektivität mit der Cloud gelten, teilen sie alle einige wichtige Prinzipale, Ziele und Architekturmuster. Diese Prinzipien und Architekturmuster für Die Konnektivität sind typisch für viele andere SaaS-Clouds. Gleichzeitig unterscheiden sie sich von den typischen Bereitstellungsmodellen von Platform-as-a-Service- und Infrastructure-as-a-Service-Clouds wie Microsoft Azure.

Eines der wichtigsten Architekturfeatures von Microsoft 365 (das von Netzwerkarchitekten häufig übersehen oder falsch interpretiert wird) ist, dass es sich um einen wirklich global verteilten Dienst handelt, im Kontext der Art und Weise, wie Benutzer eine Verbindung damit herstellen. Der Speicherort des Microsoft 365-Zielmandanten ist wichtig, um den Speicherort von Kundendaten in der Cloud zu verstehen. Die Benutzererfahrung mit Microsoft 365 umfasst jedoch keine direkte Verbindung mit Datenträgern, die die Daten enthalten. Die Benutzererfahrung bei Microsoft 365 (einschließlich Leistung, Zuverlässigkeit und anderer wichtiger Qualitätsmerkmale) bezieht sich auf die Konnektivität über hochgradig verteilte Dienst-Einstiegspunkte, die über Hunderte von Microsoft-Standorten weltweit skaliert werden. In den meisten Fällen wird die beste Benutzererfahrung dadurch erreicht, dass das Kundennetzwerk Benutzeranforderungen an den nächstgelegenen Microsoft 365-Diensteinstiegspunkt weiterleiten kann. Dies ist besser, als eine Verbindung mit Microsoft 365 über einen Ausgangspunkt an einem zentralen Ort oder einer region herzustellen.

Bei den meisten Kunden sind Microsoft 365-Benutzer über viele Standorte verteilt. Um die besten Ergebnisse zu erzielen, sollten die in diesem Dokument beschriebenen Prinzipien aus der Perspektive der horizontalen Skalierung (nicht der horizontalen Skalierung) betrachtet werden. Dabei liegt der Schwerpunkt auf der Optimierung der Konnektivität zum nächstgelegenen Point of Presence im globalen Microsoft-Netzwerk, nicht zum geografischen Standort des Microsoft 365-Mandanten. Im Wesentlichen bedeutet dies, dass Microsoft 365-Mandantendaten zwar an einem bestimmten geografischen Standort gespeichert werden, die Microsoft 365-Erfahrung für diesen Mandanten jedoch verteilt bleibt. Er kann sich in sehr unmittelbarer (Netzwerk-)Nähe zu jedem Endbenutzerstandort befinden, über den der Mandant verfügt.

Prinzipien der Microsoft 365-Konnektivität

Microsoft empfiehlt die folgenden Prinzipien, um eine optimale Konnektivität und Leistung von Microsoft 365 zu erzielen. Verwenden Sie diese Prinzipien der Microsoft 365-Konnektivität, um den Datenverkehr zu verwalten und bei der Herstellung der Verbindung zu Microsoft 365 eine optimale Leistung zu erzielen.

Das Hauptziel des Netzwerkdesigns sollte sein, die Latenz zu minimieren, indem die RTT (Round Trip Time) von Ihrem Netzwerk zum globalen Microsoft-Netzwerk minimiert wird, welches der öffentliche Netzwerkbackbone von Microsoft ist, der alle Microsoft-Rechenzentren mit geringer Latenz und weltweit verteilten Einstiegspunkten für Cloudanwendungen verbindet. Erfahren Sie mehr über das globale Microsoft-Netzwerk unter So erstellt Microsoft sein schnelles und zuverlässiges globales Netzwerk.

Identifizieren und Unterscheiden von Microsoft 365-Datenverkehr

Identifizieren von Microsoft 365-Datenverkehr.

Die Identifizierung von Microsoft 365-Netzwerkdatenverkehr ist der erste Schritt, um den Datenverkehr vom allgemeinen Internet-Netzwerkdatenverkehr unterscheiden zu können. Microsoft 365-Konnektivität kann optimiert werden, indem eine Kombination von Ansätzen wie Netzwerkroutenoptimierung, Firewallregeln und Browserproxyeinstellungen implementiert wird. Darüber hinaus ist die Umgehung von Netzwerkinspektionsgeräten für bestimmte Endpunkte ebenfalls von Vorteil.

Im früheren Microsoft 365-Optimierungsleitfaden wurden Microsoft 365-Endpunkte in zwei Kategorien unterteilt: Erforderlich und Optional. Nachdem Endpunkte zur Unterstützung neuer Microsoft 365-Dienste und -Features hinzugefügt wurden, haben wir die Microsoft 365-Endpunkte in drei Kategorien unterteilt: Optimieren, Zulassen und Standard. Richtlinien für jede Kategorie gelten für alle Endpunkte in der Kategorie, sodass Optimierungen einfacher zu verstehen und zu implementieren sind.

Weitere Informationen zu den Microsoft 365-Endpunktkategorien und Optimierungsmethoden finden Sie im Abschnitt Neue Office 365-Endpunktkategorien.

Microsoft veröffentlicht nun alle Microsoft 365-Endpunkte als Webdienst und bietet Anleitungen dazu, wie Sie diese Daten am besten verwenden können. Weitere Informationen zum Abrufen von und Arbeiten mit Microsoft 365-Endpunkten finden Sie im Artikel Office 365-URLs und -IP-Adressbereiche.

Lokaler Ausgang von Netzwerkverbindungen

Ausgehende Netzwerkverbindungen lokal.

Lokaler DNS- und Internetausgang sind von entscheidender Bedeutung, um die Verbindungswartezeit zu verringern und sicherzustellen, dass Benutzerverbindungen zum nächstgelegenen Einstiegspunkt für Microsoft 365-Dienste vorgenommen werden. In einer komplexen Netzwerktopologie ist es wichtig, sowohl das lokale DNS als auch den lokalen Internetausgang zusammen zu implementieren. Weitere Informationen dazu, wie Clientverbindungen in Microsoft 365 zum nächstgelegenen Einstiegspunkt weitergeleitet werden, finden Sie im Artikel Clientkonnektivität.

Vor der Einführung von Clouddiensten wie Microsoft 365 war die Internetkonnektivität für Endbenutzer als Gestaltungsfaktor in der Netzwerkarchitektur relativ einfach. Wenn Internetdienste und Websites rund um den Globus verteilt sind, wird die Latenz zwischen den Ausgangspunkten des Unternehmens und einem bestimmten Zielendpunkt weitestgehend durch die geografische Entfernung bestimmt.

Bei einer herkömmlichen Netzwerkarchitektur durchlaufen alle ausgehenden Internetverbindungen das Unternehmensnetzwerk und gehen von einem zentralen Standort aus. Angesichts ausgereifterer Cloudprodukte von Microsoft ist eine verteilte, mit dem Internet verbundene Netzwerkarchitektur für die Unterstützung latenzsensibler Clouddienste wichtig geworden. Das globale Microsoft-Netzwerk wurde so entwickelt, dass Latenzanforderungen mit der Infrastruktur verteilter Dienst-Front-Doors erfüllt werden. Dabei handelt es sich um eine dynamische Fabric globaler Einstiegspunkte, die eingehende Clouddienst-Verbindungen zum nächstgelegenen Einstiegspunkt weiterleitet. Damit soll die Länge der "letzten Meile" für Microsoft Cloud-Kunden reduziert werden, indem der Weg zwischen dem Kunden und der Cloud effektiv verkürzt wird.

Unternehmens-WANs sind häufig so ausgelegt, dass Netzwerkdatenverkehr per Backhauling zur Überprüfung an eine Unternehmenszentrale zurückgeleitet wird, bevor er (in der Regel über einen oder mehrere Proxyserver) ins Internet geroutet wird. Das folgende Diagramm veranschaulicht eine solche Netzwerktopologie.

Herkömmliches Unternehmensnetzwerkmodell.

Da Microsoft 365 im globalen Microsoft-Netzwerk ausgeführt wird, das Front-End-Server auf der ganzen Welt umfasst, gibt es häufig einen Front-End-Server in der Nähe des Standorts des Benutzers. Wenn Sie lokalen Internetausgang bereitstellen und interne DNS-Server zur Bereitstellung der lokalen Namensauflösung für Microsoft 365-Endpunkte konfigurieren, kann der für Microsoft 365 bestimmte Netzwerkdatenverkehr eine Verbindung zu den zum Benutzer nächstgelegenen Microsoft 365-Front-End-Servern herstellen. Das folgende Diagramm zeigt ein Beispiel für eine Netzwerktopologie, mit der Benutzer von Standard Büro, Zweigstelle und Remotestandorten aus die kürzeste Route zum nächstgelegenen Microsoft 365-Einstiegspunkt verwenden können.

WAN-Netzwerkmodell mit regionalen Ausgangspunkten.

Wenn Sie auf diese Weise den Netzwerkpfad zu Microsoft 365-Einstiegspunkten verkürzen, können Sie die Konnektivitätsleistung und die Endbenutzererfahrung in Microsoft 365 verbessern. Es kann auch dazu beitragen, die Auswirkungen zukünftiger Änderungen an der Netzwerkarchitektur auf die Leistung und Zuverlässigkeit von Microsoft 365 zu reduzieren.

Außerdem können DNS-Anforderungen zu Wartezeiten führen, wenn sich der antwortende DNS-Server in weiter Entfernung befindet oder ausgelastet ist. Sie können die Latenz bei der Namensauflösung minimieren, indem Sie lokale DNS-Server an Zweigstellen bereitstellen und sicherstellen, dass sie für die richtige Zwischenspeicherung von DNS-Einträgen konfiguriert sind.

Während der regionale ausgehende Datenverkehr für Microsoft 365 gut funktionieren kann, besteht das optimale Konnektivitätsmodell darin, den Netzwerkausgang immer am Standort des Benutzers bereitzustellen, unabhängig davon, ob es sich im Unternehmensnetzwerk oder an Remotestandorten wie Zuhause, Hotels, Cafés und Flughäfen befindet. Dieses lokale direkte Ausgangsmodell wird im folgenden Diagramm dargestellt.

Netzwerkarchitektur mit lokalem Ausgang.

Unternehmen, die Microsoft 365 eingeführt haben, können die Architektur verteilter Dienst-Front-Doors des globalen Microsoft-Netzwerks nutzen, indem sie sicherstellen, dass Benutzerverbindungen zu Microsoft 365 den kürzestmöglichen Weg zum nächstgelegenen Einstiegspunkt des globalen Microsoft-Netzwerks verwenden. Bei einer Netzwerkarchitektur mit lokalem Ausgang lässt sich der Microsoft 365-Datenverkehr unabhängig vom Standort des Benutzers über den nächstgelegenen Ausgang leiten.

Die Architektur mit lokalem Ausgang bietet gegenüber dem herkömmlichen Modell folgende Vorteile:

  • Bietet optimale Microsoft 365-Leistung durch optimale Routenlänge. Die Endbenutzerverbindungen werden durch die Infrastruktur verteilter Dienst-Front-Doors dynamisch an den nächstgelegenen Microsoft 365-Einstiegspunkt weitergeleitet.
  • Verringert die Auslastung der Unternehmensnetzwerkinfrastruktur durch einen lokalen Ausgang
  • Sichert Verbindungen an beiden Enden mithilfe von Clientendpunktsicherheits- und Cloudsicherheitsfeatures.

Vermeiden von Spitzkehren für Netzwerke

Vermeiden von Spitzkehren.

Als allgemeine Faustregel gilt, dass die kürzeste und direkteste Route zwischen Dem Benutzer und dem nächstgelegenen Microsoft 365-Endpunkt die beste Leistung bietet. Eine Netzwerk-Spitzkehre tritt auf, wenn WAN- oder VPN-Datenverkehr, der für ein bestimmtes Ziel bestimmt ist, zuerst zu einem anderen Zwischenstandort geleitet wird (z. B. Sicherheitsstack, Cloud-Zugriffsbroker oder cloudbasiertes Web-Gateway), was zu Latenzen und einer möglichen Weiterleitung zu einem geografisch entfernten Endpunkt führen kann. Netzwerkspitzen werden auch durch Routing-/Peeringineffizienzen oder suboptimale (Remote-) DNS-Lookups verursacht.

Um sicherzustellen, dass die Microsoft 365-Konnektivität auch im fall des lokalen Ausgehenden Datenverkehrs keinen Netzwerkspitzen unterliegt, überprüfen Sie, ob der Internetdienstanbieter, der zum Bereitstellen des Internetausgangs für den Benutzerstandort verwendet wird, eine direkte Peeringbeziehung mit dem globalen Microsoft-Netzwerk in unmittelbarer Nähe zu diesem Standort hat. Sie können auch das Routing für ausgehenden Datenverkehr so konfigurieren, dass vertrauenswürdiger Microsoft 365-Datenverkehr direkt gesendet wird. Dies ist im Gegensatz zum Proxying oder Tunneln über einen Cloud-Drittanbieter oder einen cloudbasierten Netzwerksicherheitsanbieter, der Ihren internetgebundenen Datenverkehr verarbeitet. Die lokale DNS-Namensauflösung von Microsoft 365-Endpunkten trägt dazu bei, dass für Benutzerverbindungen zusätzlich zum direkten Routing die nächstgelegenen Microsoft 365-Einstiegspunkte verwendet werden.

Wenn Sie cloudbasierte Netzwerk- oder Sicherheitsdienste für Ihren Microsoft 365-Datenverkehr verwenden, stellen Sie sicher, dass das Ergebnis der Haarnadel ausgewertet und seine Auswirkungen auf die Leistung von Microsoft 365 verstanden werden. Dies kann durch Untersuchen der Anzahl und der Standorte von Dienstanbieterstandorten, über die der Datenverkehr weitergeleitet wird, in Bezug auf die Anzahl Ihrer Zweigstellen und Microsoft Global Network-Peeringpunkte, die Qualität der Netzwerkpeeringbeziehung des Dienstanbieters mit Ihrem ISP und Microsoft sowie die Auswirkungen auf die Leistung des Backhaulings in der Dienstanbieterinfrastruktur.

Aufgrund der großen Anzahl von verteilten Standorten mit Microsoft 365-Einstiegspunkten und ihrer Nähe zu Endbenutzern kann das Weiterleiten von Microsoft 365-Datenverkehr an ein Netzwerk oder Sicherheitsanbieter von Drittanbietern negative Auswirkungen auf Microsoft 365-Verbindungen haben, wenn das Anbieternetzwerk nicht für optimales Microsoft 365-Peering konfiguriert ist.

Bewerten der Umgehung von Proxys, Geräten zur Datenverkehrsüberprüfung und doppelten Sicherheitstechnologien

Umgehen von Proxys, Geräten zur Datenverkehrsüberprüfung und doppelten Sicherheitstechnologien.

Unternehmenskunden sollten ihre Netzwerksicherheits- und Risikosenkungsmethoden speziell für Microsoft 365-Datenverkehr überprüfen und die Sicherheitsfunktionen von Microsoft 365 verwenden, um ihre Abhängigkeit von stark eingreifenden, leistungssenkenden und teuren Netzwerksicherheitstechnologien für Microsoft 365-Netzwerkdatenverkehr zu verringern.

Die meisten Unternehmensnetzwerke erzwingen netzwerksicherheit für Internetdatenverkehr mithilfe von Technologien wie Proxys, TLS-Überprüfung, Paketüberprüfung und Systemen zur Verhinderung von Datenverlust. Diese Technologien mindern die Risiken für allgemeine Internetanforderungen, können aber die Leistung, Skalierbarkeit und die Qualität der Endbenutzererfahrung erheblich verringern, wenn sie auf Microsoft 365-Endpunkte angewendet werden.

Office 365-Endpunkte-Webdienst

Microsoft 365-Administratoren können ein Skript oder einen REST-Aufruf verwenden, um eine strukturierte Liste der Endpunkte vom Office 365-Endpunkte-Webdienst zu verwenden und die Konfigurationen von Umkreisfirewalls und anderen Netzwerkgeräten zu aktualisieren. Dadurch wird sichergestellt, dass datenverkehrsgebunden für Microsoft 365 anders identifiziert, angemessen behandelt und verwaltet wird als Netzwerkdatenverkehr, der für generische und häufig unbekannte Internetwebsites gebunden ist. Weitere Informationen zum Verwenden des Office 365-Endpunkte-Webdienstes finden Sie im Artikel Office 365-URLs und -IP-Adressbereiche.

PAC-Skripts (Proxy Automatic Configuration)

Microsoft 365-Administratoren können PAC-Skripts (Proxy Automatic Configuration) erstellen, die über WPAD oder GPO an Benutzercomputer übermittelt werden können. PAC-Skripts können zum Umgehen von Proxys bei Microsoft 365-Anfragen von WAN-oder VPN-Benutzern verwendet werden, sodass der Microsoft 365-Datenverkehr direkte Internetverbindungen verwenden kann, anstatt das Unternehmensnetzwerk zu durchlaufen.

Microsoft 365-Sicherheitsfunktionen

Microsoft ist transparent hinsichtlich der Sicherheit der Rechenzentren, betrieblicher Sicherheit und Risikominimierung bei Microsoft 365-Servern und den Netzwerkendpunkten, die sie darstellen. Integrierte Microsoft 365-Sicherheitsfeatures sind verfügbar, um Das Netzwerksicherheitsrisiko zu reduzieren, z. B. Microsoft Purview Data Loss Prevention, Virenschutz, mehrstufige Authentifizierung, Kunden-Lockbox, Defender for Office 365, Microsoft 365 Threat Intelligence, Microsoft 365 Secure Score, Exchange Online Protection und Netzwerk-DDOS-Sicherheit.

Weitere Informationen zur Sicherheit der Rechenzentren und des globalen Netzwerks von Microsoft finden Sie im Microsoft Trust Center.

Neue Office 365-Endpunktkategorien

Office 365-Endpunkte stellen einen vielfältigen Satz von Netzwerkadressen und Subnetzen dar. Endpunkte können URLs, IP-Adressen oder IP-Bereiche sein, und einige Endpunkte werden mit bestimmten TCP/UDP-Ports aufgelistet. URLs können entweder ein FQDN wie account.office.net oder eine Wildcard-URL wie *.office365.com sein.

Hinweis

Die Standorte von Office 365-Endpunkten im Netzwerk stehen nicht in direktem Zusammenhang mit dem Speicherort der Microsoft 365-Mandantendaten. Aus diesem Grund sollten Kunden Microsoft 365 als einen verteilten und globalen Dienst betrachten und nicht versuchen, Netzwerkverbindungen zu Office 365-Endpunkten auf der Grundlage geographischer Kriterien zu blockieren.

In unserem früheren Leitfaden zur Verwaltung von Microsoft 365-Datenverkehr wurden Endpunkte in zwei Kategorien unterteilt: Erforderlich und Optional. Endpunkte innerhalb jeder Kategorie erforderten je nach Wichtigkeit des Diensts unterschiedliche Optimierungen. Viele Kunden standen vor Herausforderungen, die Anwendung der gleichen Netzwerkoptimierungen auf die vollständige Liste der Office 365 URLs und IP-Adressen zu rechtfertigen.

Im neuen Modell werden die Endpunkte in drei Kategorien unterteilt Optimieren, Zulassen und Standard. So können Anstrengungen zur Netzwerkoptimierung prioritätsbasiert fokussiert werden, um Leistung und Rentabilität optimal zu verbessern. Die Endpunkte werden in die oben aufgeführten Kategorien konsolidiert, basierend auf der Sensibilität der effektiven Benutzererfahrung hinsichtlich Netzwerkqualität, Volumen und Leistung von Szenarien und einfacher Implementierung. Auf die gleiche Weise können empfohlene Optimierungen auf alle Endpunkte in der jeweiligen Kategorie angewendet werden.

  • Optimieren: Endpunkte sind für Konnektivität zu jedem Office 365-Dienst erforderlich und machen über 75 % der Bandbreite, Verbindungen und Datenmenge von Office 365 aus. Diese Endpunkte bilden Office 365-Szenarien ab, bei denen Netzwerkleistung, Latenz und Verfügbarkeit die höchste Priorität haben. Alle Endpunkte werden in Microsoft-Rechenzentren gehostet. Die Anzahl der Änderungen an den Endpunkten in dieser Kategorie wird voraussichtlich erheblich geringer sein als bei den Endpunkten in den anderen beiden Kategorien. Diese Kategorie enthält eine kleine Gruppe (in einer Größenordnung von ~ 10) von Schlüssel-URLs und eine definierte Gruppe von IP-Subnetzen, die den wichtigsten Office 365-Workloads wie Exchange Online, SharePoint Online, Skype for Business Online und Microsoft Teams zugeordnet sind.

    Eine komprimierte Liste mit gut definierten kritischen Endpunkten soll Ihnen helfen, hochwertige Netzwerkoptimierungen für diese Ziele schneller und einfacher zu planen und zu implementieren.

    Beispiele für Optimierungsendpunkte sind https://outlook.office365.com, https://< tenant.sharepoint.com> und https://< tenant-my.sharepoint.com>.

    Zu Optimierungsmethoden zählen folgende:

    • Umgehung optimieren Sie Endpunkte auf Netzwerkgeräten und Diensten, die Datenverkehr abfangen, TLS-Entschlüsselung, umfassende Paketüberprüfung und Inhaltsfilterung durchführen.
    • Umgehung von lokalen Proxy-Geräten und cloudbasierten Proxy-Diensten, die häufig für allgemeines Browsen im Internet verwendet werden.
    • Priorisieren Sie die Auswertung dieser Endpunkte als vollständig vertrauenswürdig durch Ihre Netzwerkinfrastruktur und Perimetersysteme.
    • Priorisieren Sie die Reduktion oder Eliminierung von WAN-Backhauling und unterstützen Sie den direkten verteilten internetbasierten Ausgang für diese Endpunkte so nahe wie möglich zu Benutzern/Zweigstellen.
    • Unterstützen Sie die direkte Konnektivität zu diesen Cloud-Endpunkten für VPN-Benutzer durch Implementierung getrennter Tunnel.
    • Stellen Sie sicher, dass die durch die DNS-Namensauflösung zurückgegebenen IP-Adressen dem Routing-Ausgangspfad für diese Endpunkte entsprechen.
    • Priorisieren Sie diese Endpunkte für die SD-WAN-Integration für direktes Routing mit minimaler Latenz in den nächstgelegenen Internet-Peering-Punkt des globalen Microsoft-Netzwerks.
  • Zulassende Endpunkte sind für die Konnektivität mit bestimmten Office 365 Diensten und Features erforderlich, sind aber nicht so empfindlich auf Netzwerkleistung und Latenz wie die in der Kategorie Optimieren. Die gesamten Netzwerkanforderungen dieser Endpunkte im Hinblick auf Bandbreite und Verbindungsanzahl sind ebenfalls geringer. Diese Endpunkte sind Office 365 zugeordnet und werden in Microsoft-Rechenzentren gehostet. Sie stellen eine breite Palette von Office 365 Microservices und deren Abhängigkeiten (in der Größenordnung von ca. 100 URLs) dar und werden voraussichtlich mit einer höheren Rate als diejenigen in der Kategorie "Optimieren" geändert. Nicht alle Endpunkte in dieser Kategorie sind definierten dedizierten IP-Subnetzen zugeordnet.

    Netzwerkoptimierungen für Endpunkte zulassen können die Office 365 Benutzerfreundlichkeit verbessern, aber einige Kunden entscheiden sich möglicherweise dafür, diese Optimierungen enger einzugrenzen, um Änderungen an ihrem Netzwerk zu minimieren.

    Beispiele für Zulassen von Endpunkten sind https://*.protection.outlook.com und https://accounts.accesscontrol.windows.net.

    Zu Optimierungsmethoden zählen folgende:

    • Umgehung Zulassen von Endpunkten auf Netzwerkgeräten und Diensten, die Datenverkehrsabfang, TLS-Entschlüsselung, umfassende Paketüberprüfung und Inhaltsfilterung durchführen.
    • Priorisieren Sie die Auswertung dieser Endpunkte als vollständig vertrauenswürdig durch Ihre Netzwerkinfrastruktur und Perimetersysteme.
    • Priorisieren Sie die Reduktion oder Eliminierung von WAN-Backhauling und unterstützen Sie den direkten verteilten internetbasierten Ausgang für diese Endpunkte so nahe wie möglich zu Benutzern/Zweigstellen.
    • Stellen Sie sicher, dass die durch die DNS-Namensauflösung zurückgegebenen IP-Adressen dem Routing-Ausgangspfad für diese Endpunkte entsprechen.
    • Priorisieren Sie diese Endpunkte für die SD-WAN-Integration für direktes Routing mit minimaler Latenz in den nächstgelegenen Internet-Peering-Punkt des globalen Microsoft-Netzwerks.
  • Standardendpunkte stellen Office 365 Dienste und Abhängigkeiten dar, die keine Optimierung erfordern und von Kundennetzwerken als normaler Internetdatenverkehr behandelt werden können. Einige Endpunkte in dieser Kategorie werden möglicherweise nicht in Microsoft-Rechenzentren gehostet. Beispiele hierfür sind https://odc.officeapps.live.com und https://appexsin.stb.s-msn.com.

Weitere Informationen zu den Verfahren zur Office 365-Netzwerkoptimierung finden Sie im Artikel Verwalten von Office 365-Endpunkten.

Vergleichen der Sicherheit des Netzwerkperimeters mit der Endpunktsicherheit

Das Ziel der herkömmlichen Netzwerksicherheit ist die Absicherung des Unternehmensnetzwerkperimeters gegen Eindringversuche und böswillige Angriffe. Wenn Organisationen Microsoft 365 einführen, werden einige Netzwerkdienste und -daten teilweise oder vollständig in die Cloud migriert. Wie bei allen grundlegenden Änderungen an der Netzwerkarchitektur erfordert dieser Vorgang eine Neubewertung der Netzwerksicherheit, die neue Faktoren berücksichtigt:

  • Wenn Clouddienste eingeführt werden, werden Netzwerkdienste und -daten zwischen lokalen Rechenzentren und der Cloud verteilt und der Perimeterschutz allein ist nicht mehr ausreichend.
  • Remotebenutzer stellen zu Unternehmensressourcen sowohl in lokalen Rechenzentren als auch in der Cloud von unkontrollierten Standorten wie Home-Offices, Hotels und Cafés aus eine Verbindung her.
  • Speziell entwickelte Sicherheitsfeatures werden zunehmend in Clouddienste integriert und können vorhandene Sicherheitssysteme ergänzen oder ersetzen.

Microsoft bietet eine breite Palette an Microsoft 365-Sicherheitsfunktionen und Anleitungen für die Verwendung bewährter Sicherheitsmethoden, mit denen Sie Daten- und Netzwerksicherheit für Microsoft 365 sicherstellen können. Zu den empfohlenen bewährten Methoden gehören:

  • Verwenden der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) MFA fügt einer Strategie für sichere Kennwörter eine zusätzliche Schutzebene hinzu, da Benutzer nach der korrekten Eingabe ihres Kennworts einen Telefonanruf, eine SMS oder eine App-Benachrichtigung auf ihrem Smartphone bestätigen müssen.

  • Microsoft Defender for Cloud Apps verwenden Konfigurieren Sie Richtlinien, um anomale Aktivitäten nachzuverfolgen und darauf zu reagieren. Richten Sie Warnungen mit Microsoft Defender for Cloud Apps ein, damit Administratoren ungewöhnliche oder riskante Benutzeraktivitäten wie das Herunterladen großer Datenmengen, mehrere fehlgeschlagene Anmeldeversuche oder Verbindungen von einer unbekannten oder gefährlichen IP-Adresse überprüfen können.

  • Konfigurieren Sie die Verhinderung von Datenverlust (DLP) DLP ermöglicht es Ihnen, vertrauliche Daten zu erkennen und Richtlinien zu erstellen, durch die verhindert wird, dass Ihre Benutzer die Daten versehentlich oder absichtlich freigeben. DLP funktioniert übergreifend in Microsoft 365, einschließlich Exchange Online, SharePoint Online und OneDrive, damit Compliance durch die Benutzer ohne Unterbrechung ihres Arbeitsflusses gewährleistet ist.

  • Verwenden Sie Kunden-Lockbox Als Microsoft 365-Administrator können Sie Kunden-Lockbox verwenden, um zu steuern, wie ein Microsoft-Supporttechniker während einer Hilfesitzung auf Ihre Daten zugreift. In Fällen, in denen der Techniker zur Erkennung und Behebung eines Problems Zugriff auf Ihre Daten benötigt, ermöglicht Ihnen Kunden Lockbox, die Zugriffsanfrage zu genehmigen oder abzulehnen.

  • Verwenden Sie Office 365 Secure Score Ein Sicherheitsanalysetool, das Empfehlungen zur weiteren Risikoreduzierung gibt. Secure Score überprüft Ihre Einstellungen und Aktivitäten in Microsoft 365 und vergleicht diese mit einer von Microsoft aufgestellten Basislinie. Sie erhalten eine Bewertung basierend auf der Ausrichtung auf bewährten Sicherheitsmethoden.

Ein ganzheitlicher Ansatz zur Verbesserung der Sicherheit sollte folgende Aspekte berücksichtigen:

  • Verlagern Sie den Schwerpunkt vom Perimeterschutz auf die Endpunktsicherheit, indem Sie cloudbasierte und Office-Client-basierte Sicherheitsfunktionen anwenden.
    • Verkleinern Sie den Sicherheitsperimeter auf das Rechenzentrum
    • Aktivieren Sie eine gleichwertige Vertrauensstellung für Benutzergeräte innerhalb des Büros oder an Remotestandorten
    • Legen Sie den Fokus auf die Absicherung des Datenspeicherorts und des Benutzerstandorts
    • Verwaltete Benutzercomputer haben eine höhere Vertrauensstellung
  • Ganzheitliche Verwaltung aller Informationssicherheitsdaten, keine reine Fokussierung auf den Perimeter
    • Definieren Sie das WAN neu und bauen Sie Perimeternetzwerksicherheit auf, indem Sie vertrauenswürdigem Datenverkehr erlauben, Sicherheitsgeräte zu umgehen, und für nicht verwaltete Geräte WLAN-Gastnetzwerke schaffen
    • Reduzierung der Netzwerksicherheitsanforderungen des WAN-Unternehmensrands
    • Einige Geräte für den Netzwerkperimeterschutz wie Firewalls sind weiterhin erforderlich, aber die Auslastung wird reduziert.
    • Stellt lokalen Ausgangspunkt für Microsoft 365-Datenverkehr sicher
  • Verbesserungen können inkrementell umgesetzt werden, wie im Abschnitt Inkrementelle Optimierung beschrieben. Einige Optimierungstechniken bieten je nach Netzwerkarchitektur möglicherweise ein besseres Kosten-Nutzen-Verhältnis, und Sie sollten Optimierungen auswählen, die für Ihre organization am sinnvollsten sind.

Weitere Informationen zu Microsoft 365 Security und Compliance finden Sie im Artikel Microsoft 365 Security und Microsoft Purview.

Inkrementelle Optimierung

Wir haben weiter oben in diesem Artikel das ideale Netzwerkkonnektivitätsmodell für SaaS dargestellt, aber für viele große Organisationen mit historisch komplexen Netzwerkarchitekturen ist es nicht praktikabel, alle diese Änderungen direkt vorzunehmen. In diesem Abschnitt werden viele inkrementelle Änderungen erläutert, die zur Verbesserung der Leistung und Zuverlässigkeit von Microsoft 365 beitragen können.

Die Methoden, die Sie zum Optimieren des Microsoft 365-Datenverkehrs verwenden, variieren je nach Ihrer Netzwerktopologie und den von Ihnen implementierten Netzwerkgeräten. Große Unternehmen mit vielen Standorten und komplexen Netzwerksicherheitsmethoden müssen eine Strategie entwickeln, die die meisten oder alle im Abschnitt Microsoft 365-Konnektivitätsprinzipien aufgeführten Prinzipien umfasst, während kleinere Organisationen möglicherweise nur ein oder zwei berücksichtigen müssen.

Sie können die Optimierung als inkrementellen Vorgang angehen und die jeweiligen Methoden nacheinander anwenden. In der folgenden Tabelle sind die wichtigsten Optimierungsmethoden in der Reihenfolge ihrer Auswirkungen auf Latenz und Zuverlässigkeit für die größte Anzahl von Benutzern aufgeführt.

Optimierungsmethode Beschreibung Auswirkung
Lokale DNS-Auflösung und Internetausgang
Stellen Sie lokale DNS-Server an jedem Standort bereit und stellen Sie sicher, dass Microsoft 365-Verbindungen so nah wie möglich am Standort des Benutzers ins Internet geroutet werden.
Latenzen minimieren
Zuverlässige Konnektivität zum nächstgelegenen Microsoft 365-Einstiegspunkt verbessern
Regionale Ausgangspunkte hinzufügen
Wenn Ihr Unternehmensnetzwerk mehrere Standorte umfasst, aber nur einen Ausgangspunkt aufweist, fügen Sie regionale Ausgangspunkte hinzu, damit Benutzer eine Verbindung zum nächstgelegenen Microsoft 365-Einstiegspunkt herstellen können.
Latenzen minimieren
Zuverlässige Konnektivität zum nächstgelegenen Microsoft 365-Einstiegspunkt verbessern
Proxys und Überprüfungsgeräte umgehen
Konfigurieren Sie Browser mit PAC-Dateien, die Microsoft 365-Anforderungen direkt an Ausgangspunkte senden.
Konfigurieren Sie Edge-Router und Firewalls zum Zulassen von Microsoft 365-Datenverkehr ohne Überprüfung.
Latenzen minimieren
Auslastung von Netzwerkgeräten reduzieren
Direkte Verbindung für VPN-Benutzer aktivieren
Aktivieren Sie für VPN-Benutzer Microsoft 365-Verbindungen, um eine direkte Verbindung vom Netzwerk des Benutzers aus anstatt über den VPN-Tunnel herzustellen, indem Sie getrennte Tunnel implementieren.
Latenzen minimieren
Zuverlässige Konnektivität zum nächstgelegenen Microsoft 365-Einstiegspunkt verbessern
Migrieren vom herkömmlichen WAN zu SD-WAN
SD-WANs (Software Defined Wide Area Networks) vereinfachen die WAN-Verwaltung und verbessern die Leistung, da herkömmliche WAN-Router durch virtuelle Geräte ersetzt werden, ähnlich wie bei der Virtualisierung von Computerressourcen mit virtuellen Maschinen (VMs).
Verbessern der Leistung und Verwaltbarkeit von WAN-Datenverkehr
Auslastung von Netzwerkgeräten reduzieren

Microsoft 365 – Überblick über die Netzwerkkonnektivität

Verwalten von Office 365-Endpunkten

URLs und IP-Adressbereiche für Office 365

Office 365 – IP-Adress- und URL-Webdienst

Bewerten der Microsoft 365-Netzwerkkonnektivität

Netzwerkplanung und Leistungsoptimierung für Microsoft 365

Office 365-Leistungsoptimierung mit Basisplänen und Leistungsverlauf

Plan zur Problembehandlung für Office 365

Netzwerke für die Inhaltsübermittlung

Microsoft 365-Konnektivitätstest

So erstellt Microsoft sein schnelles und zuverlässiges globales Netzwerk

Office 365-Networking-Blog