Administración de puntos de conexión de Microsoft 365
La mayoría de las organizaciones empresariales que tienen varias ubicaciones de oficina y una WAN de conexión necesitan configuración para la conectividad de red de Microsoft 365. Puede optimizar la red enviando todas las solicitudes de red de Microsoft 365 de confianza directamente a través del firewall, omitiendo toda la inspección o el procesamiento de paquetes adicionales. Esto reduce la latencia y los requisitos de capacidad perimetrales. La identificación del tráfico de red de Microsoft 365 es el primer paso para proporcionar un rendimiento óptimo a los usuarios. Para obtener más información, consulte Principios de conectividad de red de Microsoft 365.
Microsoft recomienda acceder a los puntos de conexión de red de Microsoft 365 y realizar cambios continuos en ellos mediante la dirección IP y el servicio web url de Microsoft 365.
Independientemente de cómo administre el tráfico de red vital de Microsoft 365, Microsoft 365 requiere conectividad a Internet. Otros puntos de conexión de red en los que se requiere conectividad aparecen en Puntos de conexión adicionales no incluidos en el servicio web dirección IP y dirección URL de Microsoft 365.
La forma de usar los puntos de conexión de red de Microsoft 365 depende de la arquitectura de red de la organización empresarial. En este artículo se describen varias maneras en que las arquitecturas de red empresariales pueden integrarse con direcciones IP y direcciones URL de Microsoft 365. La manera más fácil de elegir en qué solicitudes de red confiar es usar dispositivos SD-WAN que admitan la configuración automatizada de Microsoft 365 en cada una de las ubicaciones de su oficina.
SD-WAN para la salida de la rama local del tráfico de red vital de Microsoft 365
En cada ubicación de sucursal, puede proporcionar un dispositivo SD-WAN que esté configurado para enrutar el tráfico de la categoría de puntos de conexión Optimizar de Microsoft 365, o bien optimizar y permitir categorías, directamente a la red de Microsoft. Otro tráfico de red, incluido el tráfico del centro de datos local, el tráfico general de sitios web de Internet y el tráfico a los puntos de conexión de categoría predeterminados de Microsoft 365 se envían a otra ubicación donde tiene un perímetro de red más sustancial.
Microsoft está trabajando con proveedores de SD-WAN para habilitar la configuración automatizada. Para obtener más información, consulte Programa de partners de redes de Microsoft 365.
Uso de un archivo PAC para el enrutamiento directo del tráfico vital de Microsoft 365
Use archivos PAC o WPAD para administrar las solicitudes de red asociadas a Microsoft 365 pero que no tienen una dirección IP. Normalmente, las solicitudes de red que se envían a través de un dispositivo proxy o perimetral aumentan la latencia. Aunque TLS Break and Inspect crea la mayor latencia, otros servicios, como la autenticación de proxy y la búsqueda de reputación, pueden provocar un rendimiento deficiente y una mala experiencia del usuario. Además, estos dispositivos de red perimetral necesitan capacidad suficiente para procesar todas las solicitudes de conexión de red. Se recomienda omitir el proxy o los dispositivos de inspección para las solicitudes de red directas de Microsoft 365.
Get-PacFile de la Galería de PowerShell es un script de PowerShell que lee los puntos de conexión de red más recientes del servicio web dirección IP y dirección URL de Microsoft 365 y crea un archivo PAC de ejemplo. Puede modificar el script para que se integre con la administración de archivos PAC existente.
Nota:
Para obtener más información sobre las consideraciones de seguridad y rendimiento de la conectividad directa con puntos de conexión de Microsoft 365, consulte Principios de conectividad de red de Microsoft 365.
Figura 1: perímetro de red de una empresa simple
El archivo PAC se implementa en los exploradores web en el punto 1 de la figura 1. Al usar un archivo PAC para la salida directa del tráfico de red vital de Microsoft 365, también debe permitir la conectividad con las direcciones IP detrás de estas direcciones URL en el firewall perimetral de red. Para ello, se capturan las direcciones IP de las mismas categorías de puntos de conexión de Microsoft 365 que se especifican en el archivo PAC y se crean ACL de firewall basadas en esas direcciones. El firewall es el punto 3 de la figura 1.
Por separado, si decide realizar solo el enrutamiento directo para los puntos de conexión de categoría Optimizar, los puntos de conexión de categoría Allow necesarios que envíe al servidor proxy deben aparecer en el servidor proxy para omitir el procesamiento adicional. Por ejemplo, la interrupción de TLS y la inspección y la autenticación de proxy son incompatibles con los puntos de conexión de categoría Optimizar y Permitir. El servidor proxy es el punto 2 de la figura 1.
La configuración común es permitir sin procesar todo el tráfico saliente desde el servidor proxy para las direcciones IP de destino para el tráfico de red de Microsoft 365 que llega al servidor proxy. Para obtener información sobre los problemas con la interrupción e inspección de TLS, consulte Uso de soluciones o dispositivos de red de terceros en el tráfico de Microsoft 365.
Hay dos tipos de archivos PAC que genera el script Get-PacFile.
Tipo | Descripción |
---|---|
1 |
Enviar tráfico de punto de conexión Optimizar directo y todo lo demás al servidor proxy. |
2 |
Enviar tráfico de punto de conexión Optimizar y Permitir directo y todo lo demás al servidor proxy. Este tipo también se puede usar para enviar todo el tráfico compatible de ExpressRoute para Microsoft 365 a segmentos de red de ExpressRoute y todo lo demás al servidor proxy. |
Este es un ejemplo sencillo de llamada al script de PowerShell:
Get-PacFile -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7
Hay muchos parámetros que puede pasar al script:
Parámetro | Descripción |
---|---|
ClientRequestId |
Esto es necesario y es un GUID pasado al servicio web que representa el equipo cliente que realiza la llamada. |
Instance |
La instancia de servicio de Microsoft 365, que tiene como valor predeterminado En todo el mundo. Esto también se pasa al servicio web. |
TenantName |
Nombre del inquilino de Microsoft 365. Se pasa al servicio web y se usa como parámetro reemplazable en algunas direcciones URL de Microsoft 365. |
Tipo |
El tipo de archivo PAC de proxy que quiere generar. |
Este es otro ejemplo de llamada al script de PowerShell con más parámetros:
Get-PacFile -Type 2 -Instance Worldwide -TenantName Contoso -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7
Procesamiento de omisión del servidor proxy del tráfico de red de Microsoft 365
Cuando los archivos PAC no se usan para el tráfico saliente directo, todavía desea omitir el procesamiento en el perímetro de red mediante la configuración del servidor proxy. Algunos proveedores de servidores proxy han habilitado la configuración automatizada de esto, tal como se describe en el Programa de partners de redes de Microsoft 365.
Si lo hace manualmente, debe obtener los datos de la categoría Optimizar y Permitir punto de conexión de la dirección IP y el servicio web url de Microsoft 365 y configurar el servidor proxy para omitir el procesamiento de estos. Es importante evitar la interrupción e inspección de TLS y la autenticación de proxy para los puntos de conexión de la categoría Optimizar y Permitir.
Administración de cambios para direcciones IP y direcciones URL de Microsoft 365
Además de seleccionar la configuración adecuada para el perímetro de red, es fundamental que adopte un proceso de administración de cambios para los puntos de conexión de Microsoft 365. Estos puntos de conexión cambian periódicamente. Si no administra los cambios, puede terminar con usuarios bloqueados o con un rendimiento deficiente después de agregar una nueva dirección IP o dirección URL.
Los cambios en las direcciones IP y direcciones URL de Microsoft 365 suelen publicarse cerca del último día de cada mes. A veces, un cambio se publica fuera de esa programación debido a los requisitos operativos, de soporte técnico o de seguridad.
Cuando se publica un cambio que requiere que actúe porque se agregó una dirección IP o una dirección URL, debe esperar recibir un aviso de 30 días desde el momento en que publicamos el cambio hasta que haya un servicio de Microsoft 365 en ese punto de conexión. Esto se refleja como la fecha de vigencia. Aunque nuestro objetivo es este período de notificación, es posible que no siempre sea posible debido a los requisitos operativos, de soporte técnico o de seguridad. Los cambios que no requieren una acción inmediata para mantener la conectividad, como direcciones IP o direcciones URL eliminadas o cambios menos significativos, no incluyen notificaciones anticipadas. En estos casos, no se proporciona ninguna fecha de vigencia. Independientemente de la notificación que se proporcione, se enumeran las fechas previstas para cada uno de los cambios en el servicio.
Notificación de cambios con el servicio web
Puede usar el servicio web dirección IP y dirección URL de Microsoft 365 para obtener la notificación de cambios. Se recomienda llamar al método web /version una vez por hora para comprobar la versión de los puntos de conexión que usa para conectarse a Microsoft 365. Si esta versión cambia al compararla con la versión que usa, debe obtener los datos del último punto de conexión en el método web /endpoints y, de forma opcional, puede obtener las diferencias con el método web /changes. No es necesario llamar a los métodos web /endpoints o /changes si no se ha producido ningún cambio en la versión que encontró.
Para obtener más información, consulte Servicio web de direcciones IP y direcciones URL de Microsoft 365.
Notificación de cambios con fuentes RSS
La dirección IP y el servicio web de direcciones URL de Microsoft 365 proporcionan una fuente RSS a la que puede suscribirse en Outlook. Hay vínculos a las direcciones URL RSS en cada una de las páginas específicas de la instancia de servicio de Microsoft 365 para las direcciones IP y las direcciones URL. Para obtener más información, consulte Servicio web de direcciones IP y direcciones URL de Microsoft 365.
Cambiar la notificación y la revisión de aprobación mediante Power Automate
Sabemos que es posible que siga requiriendo procesamiento manual para los cambios en los puntos de conexión de red que llegan cada mes. Puede usar Power Automate para crear un flujo que le notifique por correo electrónico y, opcionalmente, ejecute un proceso de aprobación de cambios cuando los puntos de conexión de red de Microsoft 365 tengan cambios. Una vez completada la revisión, puede hacer que el flujo envíe los cambios por correo automáticamente al equipo de administración del servidor proxy y del firewall.
Para obtener información sobre un ejemplo y una plantilla de Power Automate, consulte Uso de Power Automate para recibir un correo electrónico para ver los cambios en direcciones IP y direcciones URL de Microsoft 365.
Preguntas más frecuentes sobre puntos de conexión de red de Microsoft 365
Consulte estas preguntas más frecuentes sobre la conectividad de red de Microsoft 365.
¿Cómo envío una pregunta?
Seleccione el vínculo de la parte inferior para indicar si el artículo fue útil o no y envíe más preguntas. Supervisamos los comentarios y actualizamos las preguntas en esta sección de preguntas más frecuentes.
¿Cómo determino la ubicación de mi espacio empresarial?
La ubicación de espacios empresariales se determina mejor con nuestro mapa de centros de datos.
¿Estoy emparejando adecuadamente con Microsoft?
Las ubicaciones de emparejamiento se describen con más detalles en el emparejamiento con Microsoft.
Con más de 2500 relaciones de emparejamiento ISP a nivel mundial y 70 puntos de presencia, el paso de su red a la nuestra debería realizarse sin problemas. No está de más dedicar unos minutos a asegurarse de que la relación de emparejamiento de su ISP es la mejor, le mostramos algunos ejemplos aquí de entregas de emparejamiento buenas y no tan buenas a nuestra red.
Puedo ver solicitudes de red a direcciones IP que no están en la lista publicada, ¿es necesario proporcionar acceso para ellas?
Solo proporcionamos direcciones IP para los servidores de Microsoft 365 a los que debe enrutar directamente. Esta no es una lista completa de todas las direcciones IP para las que verá peticiones de red. Verá solicitudes de red a Microsoft y direcciones IP de terceros, no publicadas. Estas direcciones IP se generan de forma dinámica o se administran de manera que se impide un aviso puntual cuando cambian. Si su firewall no permite el acceso basado en los FQDN para estas solicitudes de red, use un archivo PAC o WPAD para administrar las solicitudes.
¿Ve una dirección IP asociada a Microsoft 365 sobre la que desea obtener más información?
- Compruebe si la dirección IP se incluye en un rango publicado mayor con una calculadora CIDR, como estas para IPv4 o IPv6. Por ejemplo, 40.96.0.0/13 incluye la dirección IP 40.103.0.1 a pesar de que 40.96 no coincide con 40.103.
- Compruebe si un partner es el propietario de la IP con una consulta whois. Si es propiedad de Microsoft, podría ser un asociado interno. Muchos puntos de conexión de red de asociados aparecen como pertenecientes a la categoría predeterminada , para la que no se publican las direcciones IP.
- Es posible que la dirección IP no forme parte de Microsoft 365 o de una dependencia. La publicación de puntos de conexión de red de Microsoft 365 no incluye todos los puntos de conexión de red de Microsoft.
- Compruebe el certificado. Con un explorador, conéctese a la dirección IP mediante HTTPS://< IP_ADDRESS> y compruebe los dominios enumerados en el certificado para comprender qué dominios están asociados a la dirección IP. Si es una dirección IP propiedad de Microsoft y no está en la lista de direcciones IP de Microsoft 365, es probable que la dirección IP esté asociada a una red CDN de Microsoft, como MSOCDN.NET u otro dominio de Microsoft sin información de IP publicada. Si encuentra que el dominio en el certificado es uno de los que afirmamos indicar la dirección IP, háganoslo saber.
Algunas direcciones URL de Microsoft 365 apuntan a registros CNAME en lugar de registros A en el DNS. ¿Qué tengo que hacer con los registros CNAME?
Los equipos cliente necesitan un registro A o AAAA de DNS que incluya una o varias direcciones IP para conectarse a un servicio en la nube. Algunas direcciones URL incluidas en Microsoft 365 muestran registros CNAME en lugar de registros A o AAAA. Estos registros CNAME son intermediarios y puede haber varios en una cadena. Con el tiempo, siempre se resolverán en un registro A o AAAA para una dirección IP. Por ejemplo, considere la siguiente serie de registros DNS, que en última instancia se resuelven en la dirección IP IP_1:
serviceA.office.com -> CNAME: serviceA.domainA.com -> CNAME: serviceA.domainB.com -> A: IP_1
Estas redirecciones de CNAME son una parte normal del DNS y son transparentes para el equipo cliente y para los servidores proxy. Se usan para el equilibrio de carga, las redes de entrega de contenido, la alta disponibilidad y la mitigación de incidentes de servicio. Microsoft no publica los registros CNAME intermedios, están sujetos a cambios en cualquier momento y no es necesario configurarlos como se permite en el servidor proxy.
Un servidor proxy valida la dirección URL inicial, que en el ejemplo anterior es serviceA.office.com, y esta dirección URL se incluiría en la publicación de Microsoft 365. El servidor proxy solicita la resolución DNS de esa dirección URL a una dirección IP y recibe IP_1. No valida los registros de redireccionamiento CNAME intermedios.
Microsoft no recomienda ni admite configuraciones codificadas de forma rígida ni usar una lista de permitidos basada en FQDN indirectos de Microsoft 365. Se sabe que causan problemas de conectividad del cliente. Las soluciones DNS que se bloquean en el redireccionamiento CNAME, o que de lo contrario resuelven incorrectamente las entradas DNS de Microsoft 365, se pueden resolver a través de reenviadores DNS con recursividad DNS habilitada o mediante sugerencias de raíz DNS. Muchos productos perimetrales de red de terceros integran de forma nativa el punto de conexión recomendado de Microsoft 365 para incluir una lista de permitidos en su configuración mediante el servicio web dirección IP y dirección URL de Microsoft 365.
¿Por qué veo nombres como nsatc.net o akadns.net en los nombres de dominio de Microsoft?
Microsoft 365 y otros servicios de Microsoft usan varios servicios de terceros, como Akamai y MarkMonitor, para mejorar la experiencia de Microsoft 365. Para seguir dándole la mejor experiencia posible, es posible que cambiemos estos servicios en el futuro. Los dominios de terceros pueden hospedar contenido, como una red CDN, o bien pueden hospedar un servicio, como un servicio de administración de tráfico geográfico. Algunos de los servicios actualmente en uso son:
MarkMonitor está en uso cuando se ven solicitudes que incluyen *.nsatc.net. Este servicio proporciona protección y supervisión de nombres de dominio para protegerse de comportamiento malintencionado.
ExactTarget está en uso cuando se ven solicitudes a *.exacttarget.com. Este servicio ofrece administración y supervisión de vínculos de correo contra comportamiento malintencionado.
Akamai está en uso cuando vea las solicitudes que incluyen uno de los siguientes FQDN. Este servicio ofrece servicios de red de entrega de contenido y DNS geográfico.
*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net
Tengo que tener la conectividad mínima posible para Microsoft 365
Como Microsoft 365 es un conjunto de servicios creados para funcionar a través de Internet, las promesas de confiabilidad y disponibilidad se basan en que hay muchos servicios de Internet estándar disponibles. Por ejemplo, los servicios de Internet estándar, como DNS, CRL y CDN, deben ser accesibles para usar Microsoft 365, del mismo modo que deben ser accesibles para usar la mayoría de los servicios de Internet modernos.
El conjunto de aplicaciones de Microsoft 365 se divide en cuatro áreas de servicio principales que representan las tres cargas de trabajo principales y un conjunto de recursos comunes. Estas áreas de servicio se pueden usar para asociar flujos de tráfico a una aplicación determinada, sin embargo, dado que las características suelen consumir puntos de conexión en varias cargas de trabajo, estas áreas de servicio no se pueden usar eficazmente para restringir el acceso.
Área de servicios | Descripción |
---|---|
Exchange |
Exchange Online y Exchange Online Protection |
SharePoint |
SharePoint Online y OneDrive para la Empresa |
Skype Empresarial Online y Microsoft Teams |
Skype Empresarial y Microsoft Teams |
Común |
Microsoft 365 Pro Plus, Office en un explorador, Microsoft Entra ID y otros puntos de conexión de red comunes |
Además de los servicios de Internet básicos, hay servicios de terceros que solo se usan para integrar características. Aunque estos servicios son necesarios para la integración, se marcan como opcionales en el artículo Puntos de conexión de Microsoft 365. Esto significa que la funcionalidad principal del servicio sigue funcionando si el punto de conexión no es accesible. Cualquier punto de conexión de red que sea necesario tiene el atributo requerido establecido en true. Cualquier punto de conexión de red que sea opcional tiene el atributo requerido establecido en false y el atributo notes detalla la funcionalidad que falta si la conectividad está bloqueada.
Si intenta usar Microsoft 365 y encuentra que los servicios de terceros no son accesibles, quiere asegurarse de que todos los FQDN marcados como obligatorios u opcionales en este artículo se permiten a través del proxy y el firewall.
¿Cómo puedo bloquear el acceso a los servicios al consumidor de Microsoft?
La característica de restricciones de inquilino ahora admite el bloqueo del uso de todas las aplicaciones de consumidor de Microsoft (aplicaciones MSA), como OneDrive, Hotmail y Xbox.com. Esta característica usa un encabezado independiente para el punto de conexión login.live.com. Para obtener más información, consulte Uso de restricciones de inquilino para administrar el acceso a aplicaciones en la nube SaaS.
El Firewall requiere direcciones IP y no puede procesar URL. ¿Cómo se configura para Microsoft 365?
Microsoft 365 no proporciona direcciones IP de todos los puntos de conexión de red necesarios. Algunas se proporcionan solo como direcciones URL y se clasifican como predeterminadas. Las direcciones URL de la categoría predeterminada que son necesarias deben permitirse a través de un servidor proxy. Si no tiene un servidor proxy, examine cómo ha configurado las solicitudes web para las direcciones URL que los usuarios escriben en la barra de direcciones de un explorador web; el usuario tampoco proporciona una dirección IP. Las direcciones URL de categoría predeterminadas de Microsoft 365 que no proporcionan direcciones IP deben configurarse de la misma manera.
Artículos relacionados
Servicio web de dirección IP y dirección URL de Microsoft 365
Intervalos IP del centro de datos de Microsoft Azure
Espacio IP público de Microsoft
Requisitos de infraestructura de red para Microsoft Intune