Microsoft 365:n verkkoyhteyden periaatteet

Tämä artikkeli koskee sekä Microsoft 365 Enterprise että Office 365 Enterprise.

Ennen kuin aloitat Verkon suunnittelun Microsoft 365 -verkkoyhteyttä varten, on tärkeää ymmärtää yhteysperiaatteet Microsoft 365 -liikenteen turvalliseen hallintaan ja parhaan mahdollisen suorituskyvyn varmistamiseen. Tässä artikkelissa kerrotaan uusimmista ohjeista Microsoft 365 -verkkoyhteyden turvalliseen optimoinniin.

Perinteiset yritysverkot on suunniteltu ensisijaisesti tarjoamaan käyttäjille pääsyn sovelluksiin ja yrityksen käyttämissä palvelinkeskuksissa isännöityihin tietoihin, joilla on vahva eteissuojaus. Perinteisessä mallissa oletetaan, että käyttäjät käyttävät sovelluksia ja tietoja yrityksen verkon edustalla, WAN-linkkien kautta haaratoimistoista tai etäyhteyksillä.

SaaS-sovellusten, kuten Microsoft 365:n, käyttöönotto siirtää joitakin palveluiden ja tietojen yhdistelmiä eteisverkon ulkopuolelle. Ilman optimointia käyttäjien ja SaaS-sovellusten väliseen liikenteeseen liittyy viive, joka johtuu pakettitarkastuksesta, verkon hiusneuloista, tahattomista yhteyksistä maantieteellisesti kaukaisiin päätepisteisiin ja muihin tekijöihin. Voit varmistaa parhaan Microsoft 365:n suorituskyvyn ja luotettavuuden ymmärtämällä ja ottamalla käyttöön tärkeitä optimointiohjeita.

Tässä artikkelissa kerrotaan:

Microsoft 365 -arkkitehtuuri

Microsoft 365 on hajautettu SaaS (Software-as-a Service) -pilvipalvelu, joka tarjoaa tuottavuus- ja yhteistyöskenaarioita erilaisten mikropalvelujen ja sovellusten kautta. Tällaisia ovat esimerkiksi Exchange Online, SharePoint Online, Skype for Business Online, Microsoft Teams, Exchange Online Protection, selaimen Office ja monet muut. Vaikka tietyillä Microsoft 365 -sovelluksilla saattaa olla ainutlaatuiset ominaisuutensa asiakkaan verkon ja pilviyhteyden osalta, niillä kaikilla on yhteisiä tärkeitä päänimiä, tavoitteita ja arkkitehtuurimalleja. Nämä yhdistettävyyden periaatteet ja arkkitehtuurimallit ovat tyypillisiä monille muille SaaS-pilvipalveluille. Samalla ne eroavat tyypillisistä käyttöympäristö palveluna- ja infrastruktuuri palveluna -pilvipalveluiden tyypillisistä käyttöönottomalleista, kuten Microsoft Azuresta.

Yksi Microsoft 365:n merkittävimmistä arkkitehtonisista ominaisuuksista (jota verkkoarkkitehdit usein kaipaavat tai tulkitsevat väärin) on se, että se on todella maailmanlaajuinen hajautettu palvelu siinä yhteydessä, miten käyttäjät muodostavat yhteyden siihen. Microsoft 365 -kohdevuokraajan sijainti on tärkeä, jotta voidaan ymmärtää paikkatietosijainti pilvipalvelussa. Microsoft 365:n käyttökokemuksessa ei kuitenkaan ole kyse yhteyden muodostamisesta suoraan tietoja sisältäviin levyihin. Microsoft 365:n käyttökokemus (mukaan lukien suorituskyky, luotettavuus ja muut tärkeät laatuominaisuudet) sisältää liitettävyyden hajautettujen palvelun etuovien kautta, jotka on skaalattu satojen Microsoftin sijaintien ulkopuolelle ympäri maailmaa. Useimmissa tapauksissa paras käyttökokemus saavutetaan sallimalla asiakasverkon reitittää käyttäjäpyynnöt lähimpään Microsoft 365 -palvelun aloituskohtaan. Tämä on parempi vaihtoehto kuin yhteyden muodostaminen Microsoft 365:een keskitetyn sijainnin tai alueen lähtevän pisteen kautta.

Useimmille asiakkaille Microsoft 365 -käyttäjät jaetaan useisiin sijainteihin. Jotta saavutetaan parhaat tulokset, tässä asiakirjassa esitettyjä periaatteita on tarkasteltava skaalauksen (ei skaalauksen) näkökulmasta. Samalla keskitytään optimoimaan liitettävyys lähimpään tavoitettavuuspisteeseen Microsoft Global Networkissa, ei Microsoft 365 -vuokraajan maantieteelliseen sijaintiin. Pohjimmiltaan tämä tarkoittaa sitä, että vaikka Microsoft 365 -vuokraajan tiedot voidaan tallentaa tiettyyn maantieteelliseen sijaintiin, kyseisen vuokraajan Microsoft 365 -kokemus säilyy hajautettuna. Se voi olla hyvin lähellä jokaista vuokraajan loppukäyttäjäsijaintia ( verkkoa).

Microsoft 365:n yhteysperiaatteet

Microsoft suosittelee seuraavia periaatteita optimaalisen Microsoft 365 -yhdistettävyyden ja -suorituskyvyn saavuttamiseksi. Näiden Microsoft 365 -yhteysperiaatteiden avulla voit hallita liikennettäsi ja saada parhaan suorituskyvyn muodostaessasi yhteyden Microsoft 365:een.

Verkon rakenteen ensisijaisena tavoitteena tulee olla viiveen minimointi lyhentämällä kiertoaikaa (RTT) verkosta Microsoft Global Networkiin. Microsoftin julkisen verkon runko yhdistää kaikki Microsoftin palvelinkeskukset, joiden viive ja pilvisovellusten aloituspisteet ovat hajallaan ympäri maailmaa. Lisätietoja Microsoftin maailmanlaajuisesta verkostosta on artikkelissa Miten Microsoft luo nopean ja luotettavan maailmanlaajuisen verkkonsa.

Microsoft 365 -liikenteen tunnistaminen ja erottaminen

Tunnista Microsoft 365 -liikenne.

Microsoft 365 -verkkoliikenteen tunnistaminen on ensimmäinen vaihe, kun liikenne voidaan erottaa yleisestä Internetiin sidotusta verkkoliikenteestä. Microsoft 365 -yhteys voidaan optimoida ottamalla käyttöön lähestymistapoja, kuten verkkoreitin optimointi, palomuurisäännöt, selaimen välityspalvelimen asetukset. Lisäksi verkkotarkastuslaitteiden ohittamisesta tietyissä päätepisteissä on hyötyä.

Aiemmat Microsoft 365:n optimointiohjeet jakoivat Microsoft 365 -päätepisteet kahteen luokkaan, Pakollinen ja Valinnainen. Koska päätepisteet on lisätty tukemaan uusia Microsoft 365 -palveluita ja -ominaisuuksia, Microsoft 365 -päätepisteet on järjestetty uudelleen kolmeen luokkaan: Optimoi, Salli ja Oletus. Kunkin luokan ohjeet koskevat luokan kaikkia päätepisteitä, joten optimointeja on helpompi ymmärtää ja ottaa käyttöön.

Lisätietoja Microsoft 365:n päätepisteluokista ja optimointimenetelmistä on Uusi Office 365 päätepisteluokat -osassa.

Microsoft julkaisee nyt kaikki Microsoft 365 -päätepisteet verkkopalveluna ja antaa ohjeita siitä, miten näitä tietoja kannattaa käyttää. Lisätietoja Microsoft 365 -päätepisteiden hakemisesta ja käsittelemisestä on artikkelissa OFFICE 365 URL-osoitteet ja IP-osoitealueet.

Lähtevät verkkoyhteydet paikallisesti

Lähtevät verkkoyhteydet paikallisesti.

Paikallisen DNS:n ja Internetin lähtemisen tärkeys on erittäin tärkeä yhteysviiveen pienentämisessä ja sen varmistamisessa, että käyttäjäyhteydet muodostetaan lähimpään Microsoft 365 -palveluiden kohdepisteeseen. Monimutkaisessa verkkotopologiassa on tärkeää ottaa käyttöön sekä paikallinen DNS että paikallinen Internet-lähteminen yhdessä. Lisätietoja siitä, miten Microsoft 365 reitittää asiakasyhteydet lähimpään aloituspisteeseen, on artikkelissa Asiakasyhteydet.

Ennen microsoft 365:n kaltaisten pilvipalveluiden tuloa loppukäyttäjän Internet-yhteys verkkoarkkitehtuurin suunnittelutekijänä oli suhteellisen yksinkertainen. Kun Internet-palvelut ja verkkosivustot jaetaan ympäri maailmaa, viive yritysten lähtevien pisteiden ja tietyn kohdepäätepisteen välillä johtuu pitkälti maantieteellisestä etäisyydestä.

Perinteisessä verkkoarkkitehtuurissa kaikki lähtevät Internet-yhteydet kulkevat yrityksen verkon kautta ja lähtevät keskitetystä sijainnista. Microsoftin pilvitarjonnan kypsyessä hajautetun Internet-yhteyden verkkoarkkitehtuurista on tullut kriittinen viiveherkkien pilvipalvelujen tukemisessa. Microsoft Global Network on suunniteltu vastaamaan viivevaatimuksiin Hajautetun palvelun etuovi -infrastruktuurilla, joka on dynaaminen rakenne globaaleista aloituspaikoista, jotka reitittää saapuvat pilvipalveluyhteydet lähimpään aloituskohtaan. Tämän tarkoituksena on pienentää Microsoftin pilviasiakkaiden "viimeisen mailin" pituutta lyhentämällä käytännössä asiakkaan ja pilvipalvelun välistä reittiä.

Yrityksen WAN:t on usein suunniteltu takaamaan verkkoliikenne keskusyhtiön pääkonttoriin tarkastusta varten ennen Internetiin lähtemistä, yleensä yhden tai useamman välityspalvelimen kautta. Seuraava kaavio havainnollistaa tällaista verkkotopologiaa.

Perinteinen yritysverkkomalli.

Koska Microsoft 365 toimii Microsoft Global Networkissa, joka sisältää edustapalvelimia ympäri maailmaa, käyttäjän sijaintia lähellä on usein edustapalvelin. Microsoft 365:een tarkoitettu verkkoliikenne voi muodostaa yhteyden Microsoft 365:n edustapalvelimiin mahdollisimman lähellä käyttäjää tarjoamalla paikallisen Internet-lähtevän liikenteen ja määrittämällä sisäiset DNS-palvelimet, jotka tarjoavat paikallisen nimitarkkuuden Microsoft 365 -päätepisteille. Seuraavassa kaaviossa on esimerkki verkkotopologiasta, jonka avulla käyttäjät, jotka muodostavat yhteyden päätoimistosta, haarakonttorista ja etäsijainneista, voivat seurata lyhintä reittiä lähimpään Microsoft 365 -aloituskohtaan.

WAN-verkkomalli, jossa on alueellisia lähtemispisteitä.

Microsoft 365:n aloituspisteiden verkkopolun lyhentäminen tällä tavalla voi parantaa yhteyksien suorituskykyä ja loppukäyttäjän käyttökokemusta Microsoft 365:ssä. Se voi myös auttaa vähentämään tulevien verkkoarkkitehtuuriin tehtyjen muutosten vaikutusta Microsoft 365:n suorituskykyyn ja luotettavuuteen.

DNS-pyynnöt voivat myös aiheuttaa viiveen, jos vastaava DNS-palvelin on kaukainen tai varattu. Voit minimoida nimien tarkkuuden viiveen valmistelemalla paikalliset DNS-palvelimet haarasijainteihin ja varmistamalla, että ne on määritetty tallentamaan DNS-tietueet välimuistiin asianmukaisesti.

Vaikka alueellinen lähteminen voi toimia hyvin Microsoft 365:ssä, optimaalinen yhteysmalli olisi aina tarjota verkon lähteminen käyttäjän sijainnissa riippumatta siitä, onko se yritysverkossa vai etäsijainneissa, kuten kodeissa, hotelleissa, kahviloissa ja lentokentillä. Tämä paikallinen suora lähtevän liikenteen malli esitetään seuraavassa kaaviossa.

Paikallisen lähtevän liikenteen verkkoarkkitehtuuri.

Yritykset, jotka ovat ottaneet Käyttöön Microsoft 365:n, voivat hyödyntää Microsoft Global Networkin Distributed Service Front Door -arkkitehtuuria varmistamalla, että käyttäjäyhteydet Microsoft 365:een kulkevat lyhimmän mahdollisen reitin lähimmälle Microsoft Global Network -aloituspisteelle. Paikallinen lähtevän liikenteen verkkoarkkitehtuuri tekee tämän sallimalla Microsoft 365 -liikenteen reitittämisen lähimmän lähtevän liikenteen kautta käyttäjän sijainnista riippumatta.

Paikallisella lähtevän liikenteen arkkitehtuurilla on seuraavat edut perinteiseen malliin nähden:

  • Tarjoaa optimaalisen Microsoft 365 -suorituskyvyn optimoimalla reitin pituuden. loppukäyttäjän yhteydet reititetään dynaamisesti lähimpään Microsoft 365 :n aloituskohtaan Hajautetun palvelun etuoven infrastruktuurin avulla.
  • Pienentää yrityksen verkkoinfrastruktuurin kuormitusta sallimalla paikallisen lähtevän liikenteen.
  • Suojaa yhteydet molemmissa päissä asiakkaan päätepisteen suojauksen ja pilvipalvelun suojausominaisuuksien avulla.

Vältä verkon hiusneuloja

Vältä hiusneuloja.

Yleensä lyhin ja suorin reitti käyttäjän ja lähimmän Microsoft 365 -päätepisteen välillä tarjoaa parhaan suorituskyvyn. Verkon hiusneula tapahtuu, kun tiettyyn kohteeseen sidottu WAN- tai VPN-liikenne ohjataan ensin toiseen välisijaintiin (kuten suojauspinoon, pilvipalvelun välittäjään tai pilvipohjaiseen verkkoyhdyskäytävään), jolloin lisätään viive ja mahdollinen uudelleenohjaus maantieteellisesti kaukaiseen päätepisteeseen. Verkon hiusneulat johtuvat myös reitityksen/vertaisverkon tehottomuutta tai alioptimaalisista (etä)DNS-hauista.

Jos haluat varmistaa, että Microsoft 365 -yhteyteen ei sovelleta verkko-hiusneulakkeita edes paikallisessa lähtevän liikenteen tapauksessa, tarkista, onko internet-lähtevän liikenteen tarjoamiseen käytetyllä Internet-palveluntarjoajalla suora vertaissuhde MicrosoftIn yleisen verkon kanssa lähellä kyseistä sijaintia. Haluat ehkä myös määrittää lähtevän reitityksen lähettämään luotetun Microsoft 365 -liikenteen suoraan. Tämä ei ole välityspalvelin tai tunnelointi kolmannen osapuolen pilvipalvelun tai pilvipohjaisen verkon suojauksen toimittajan läpi, joka käsittelee Internetiin sidottua liikennettäsi. Microsoft 365:n päätepisteiden paikallinen DNS-nimien tarkkuus auttaa varmistamaan, että suoran reitityksen lisäksi käyttäjäyhteyksissä käytetään lähintä Microsoft 365 -aloituskohtaa.

Jos käytät Microsoft 365 -liikenteelle pilvipohjaisia verkko- tai suojauspalveluita, varmista, että hiusneulan tulos arvioidaan ja että se vaikuttaa Microsoft 365:n suorituskykyyn. Tämä voidaan tehdä tarkastelemalla niiden palveluntarjoajien sijaintien määrää ja sijainteja, joiden kautta liikenne välitetään suhteessa haarakonttoriesi määrään ja Microsoft Global Network -vertaispisteisiin, palveluntarjoajan verkkovertailusuhteen laatuun palveluntarjoajan ja Microsoftin kanssa sekä palveluntarjoajan infrastruktuurin taustan suorituskykyyn.

Microsoft 365:n aloituspisteiden suuren hajautetun sijainnin ja loppukäyttäjien läheisyyden vuoksi Microsoft 365 -liikenteen reitittäminen kolmannen osapuolen verkkoon tai suojauspalveluun voi vaikuttaa haitallisesti Microsoft 365 -yhteyksiin, jos palveluntarjoajan verkkoa ei ole määritetty optimaalista Microsoft 365 -vertaisverkkoa varten.

Välitysvälitysvälitysten, liikennetarkastuslaitteiden ja päällekkäisten suojaustekniikoiden arviointi

Ohita välityslaitteet, liikennetarkastuslaitteet ja päällekkäiset suojaustekniikat.

Yritysasiakkaiden tulee tarkistaa verkkosuojauksensa ja riskien vähentämismenetelmänsä erityisesti Microsoft 365:een sidottua liikennettä varten ja käyttää Microsoft 365 :n suojausominaisuuksia vähentääkseen riippuvuuttaan microsoft 365 -verkkoliikenteen häiritsevistä, suorituskykyyn vaikuttavista ja kalliista verkon suojaustekniikoista.

Useimmat yritysverkot valvovat internet-liikenteen verkon suojausta välityspalvelujen, TLS-tarkastuksen, pakettitarkastuksen ja tietojen menetyksen estämisjärjestelmien kaltaisten tekniikoiden avulla. Nämä tekniikat tarjoavat tärkeitä riskien vähentämismenetelmiä yleisille Internet-pyynnöille, mutta ne voivat merkittävästi heikentää suorituskykyä, skaalautuvuutta ja loppukäyttäjäkokemuksen laatua, kun niitä käytetään Microsoft 365 -päätepisteissä.

Office 365 päätepisteiden verkkopalvelu

Microsoft 365 -järjestelmänvalvojat voivat käyttää komentosarjaa tai REST-kutsua käyttääkseen jäsennettyä päätepisteiden luetteloa Office 365 Päätepisteet -verkkopalvelusta ja päivittää eteisverkon palomuurien ja muiden verkkolaitteiden kokoonpanoja. Näin varmistat, että Microsoft 365:een sidottu liikenne tunnistetaan, käsitellään asianmukaisesti ja sitä hallitaan eri tavalla kuin yleisiin ja usein tuntemattomiin Internet-sivustoihin sidottua verkkoliikennettä. Lisätietoja Office 365 Päätepisteet-verkkopalvelun käyttämisestä on artikkelissa URL-osoitteiden ja IP-osoitealueiden Office 365.

PAC (Proxy Automatic Configuration) -komentosarjat

Microsoft 365 -järjestelmänvalvojat voivat luoda PAC (Proxy Automatic Configuration) -komentosarjoja, jotka voidaan toimittaa käyttäjätietokoneisiin WPAD:n tai GPO:n kautta. PAC-komentosarjojen avulla voidaan ohittaa WAN- tai VPN-käyttäjien Microsoft 365 -pyyntöjen välitysvälitysvälitykset, jolloin Microsoft 365 -liikenne voi käyttää suoria Internet-yhteyksiä yritysverkon käyttämisen sijaan.

Microsoft 365 :n suojausominaisuudet

Microsoft on avoin palvelinkeskusten suojauksesta, operatiivisesta suojauksesta ja riskien vähentämisestä Microsoft 365 -palvelimien ja niiden edustamien verkon päätepisteiden ympärillä. Microsoft 365:n sisäiset suojausominaisuudet ovat käytettävissä verkon suojausriskien pienentämiseen, kuten Microsoft Purview -tuotteen tietojen menetyksen esto, virustentorjunta, monimenetelmäinen todentaminen, asiakkaan lukituslaatikko, Defender for Office 365, Microsoft 365 Threat Intelligence, Microsoft 365:n suojattu pistemäärä, Exchange Online Protection ja verkon DDOS-suojaus.

Lisätietoja Microsoftin palvelinkeskuksesta ja verkon maailmanlaajuisesta suojauksesta on Microsoft Trust Centerissä.

Uudet Office 365 päätepisteluokat

Office 365 päätepisteet edustavat monenlaisia verkko-osoitteita ja aliverkkoja. Päätepisteet voivat olla URL-osoitteita, IP-osoitteita tai IP-alueita, ja jotkin päätepisteet on lueteltu tietyissä TCP/UDP-porteissa. URL-osoitteet voivat olla joko täydellisen toimitason account.office.net tai yleismerkkinen URL-osoite, kuten *.office365.com.

Huomautus

Office 365 päätepisteiden sijainnit verkossa eivät liity suoraan Microsoft 365 -vuokraajan tietojen sijaintiin. Tästä syystä asiakkaiden tulee tarkastella Microsoft 365:tä hajautettuna ja yleisenä palveluna eikä hänen tulisi yrittää estää verkkoyhteyksiä Office 365 päätepisteisiin maantieteellisten kriteerien perusteella.

Aiemmissa Microsoft 365 -liikenteen hallintaohjeissamme päätepisteet jaettiin kahteen luokkaan, Pakollinen ja Valinnainen. Kunkin luokan päätepisteet edellyttivät erilaista optimointia palvelun kriittisyydestä riippuen. Monilla asiakkailla oli haasteita perustella samojen verkkooptimointien soveltamista täydelliseen Office 365 URL-osoitteiden ja IP-osoitteiden luetteloon.

Uudessa mallissa päätepisteet erotellaan kolmeen luokkaan, Optimoi, Salli ja Oletus, ja ne tarjoavat prioriteettipohjaisen pivot-osan, johon verkon optimointitoimet kohdistetaan parhaiden suorituskykyparannusten toteuttamiseksi ja sijoitetun pääoman tuoton toteuttamiseksi. Päätepisteet yhdistetään edellä mainituissa luokissa sen mukaan, miten arkaluontoinen tehokas käyttökokemus on verkon laadulle, määrälle ja suorituskykylle skenaarioiden kirjekuorissa sekä käyttöönoton helppous. Suositeltuja optimointeja voidaan käyttää samalla tavalla kaikissa tietyn luokan päätepisteissä.

  • Optimoi päätepisteet vaaditaan yhdistettävyyttä varten jokaiseen Office 365 -palveluun, ja ne edustavat yli 75:tä prosenttia Office 365 kaistanleveydestä, yhteyksistä ja tietomäärästä. Nämä päätepisteet edustavat Office 365 skenaarioita, jotka ovat herkimpiä verkon suorituskyvylle, viiveille ja käytettävyydelle. Kaikkia päätepisteitä isännöidään Microsoftin palvelinkeskuksissa. Tämän luokan päätepisteiden muutosasteen odotetaan olevan paljon alhaisempi kuin kahden muun luokan päätepisteiden kohdalla. Tämä luokka sisältää pienen (noin 10) avain-URL-osoitteiden joukon ja määritetyn IP-aliverkkojen joukon, jotka on omistettu Office 365 ydinkuormitukselle, kuten Exchange Online, SharePoint Onlinelle, Skype for Business Onlinelle ja Microsoft Teamsille.

    Tiivistettyjen kriittisten päätepisteiden luettelon pitäisi auttaa sinua suunnittelemaan ja toteuttamaan suuriarvoisia verkkooptimointia näille kohteille nopeammin ja helpommin.

    Esimerkkejä optimoinnin päätepisteistä ovat https://outlook.office365.com, https://< tenant.sharepoint.com> ja https://< tenant-my.sharepoint.com>.

    Optimointimenetelmiä ovat esimerkiksi seuraavat:

    • Ohita optimoinnin päätepisteet verkkolaitteissa ja palveluissa, jotka suorittavat liikenteen sieppausta, TLS-salauksen purkua, syväpakettitarkastusta ja sisällön suodatusta.
    • Ohita paikalliset välityspalvelinlaitteet ja pilvipohjaiset välityspalvelinpalvelut, joita käytetään yleisesti yleisessä Internet-selaamisessa.
    • Priorisoi näiden päätepisteiden arviointi täysin luotetuksi verkkoinfrastruktuurin ja edustajärjestelmien mukaan.
    • Priorisoi WAN-taustahaudan vähentäminen tai poistaminen ja helpota näiden päätepisteiden suoraa internet-pohjaista lähtemistä mahdollisimman lähellä käyttäjien/haaran sijainteja.
    • Helpota vpn-käyttäjien suoraa yhteyttä näihin pilvipäätepisteisiin ottamalla käyttöön jaettu tunnelointi.
    • Varmista, että DNS-nimen tarkkuuden palauttamat IP-osoitteet vastaavat näiden päätepisteiden reitityksen lähtevän liikenteen polkua.
    • Priorisoi nämä päätepisteet SD-WAN-integrointia varten suoraa ja minimaalista viivettä varten, joka reititetään Microsoftin maailmanlaajuisen verkon lähimpään Internet-vertaispisteeseen.
  • Salli päätepisteet vaaditaan yhdistettävyyttä varten tiettyihin Office 365 palveluihin ja ominaisuuksiin, mutta ne eivät ole yhtä herkkiä verkon suorituskyvylle ja viiveelle kuin Optimoi-luokan päätepisteet. Näiden päätepisteiden kokonaisverkkojalanjälki kaistanleveyden ja yhteyksien määrän näkökulmasta on myös pienempi. Nämä päätepisteet on omistettu Office 365 ja niitä isännöidä Microsoftin palvelinkeskuksissa. Ne edustavat laajaa joukkoa Office 365 mikropalveluita ja niiden riippuvuuksia (noin 100 URL-osoitteen järjestyksessä), ja niiden odotetaan muuttuvan korkeammalla tahdilla kuin Optimoi-luokan. Kaikki tämän luokan päätepisteet eivät liity määritettyihin varattuihin IP-aliverkkoihin.

    Salli päätepisteet -toiminnon verkkooptimointi voi parantaa Office 365 käyttökokemusta, mutta jotkut asiakkaat voivat rajata optimoinnit kapeammin verkkojensa muutosten minimoimiseksi.

    Esimerkkejä Salli päätepisteet -ominaisuuksista ovat https://*.protection.outlook.com ja https://accounts.accesscontrol.windows.net.

    Optimointimenetelmiä ovat esimerkiksi seuraavat:

    • Ohita Salli päätepisteet verkkolaitteissa ja palveluissa, jotka suorittavat liikenteen sieppausta, TLS-salauksen purkua, syväpakettitarkastusta ja sisällön suodatusta.
    • Priorisoi näiden päätepisteiden arviointi täysin luotetuksi verkkoinfrastruktuurin ja edustajärjestelmien mukaan.
    • Priorisoi WAN-taustahaudan vähentäminen tai poistaminen ja helpota näiden päätepisteiden suoraa internet-pohjaista lähtemistä mahdollisimman lähellä käyttäjien/haaran sijainteja.
    • Varmista, että DNS-nimen tarkkuuden palauttamat IP-osoitteet vastaavat näiden päätepisteiden reitityksen lähtevän liikenteen polkua.
    • Priorisoi nämä päätepisteet SD-WAN-integrointia varten suoraa ja minimaalista viivettä varten, joka reititetään Microsoftin maailmanlaajuisen verkon lähimpään Internet-vertaispisteeseen.
  • Oletuspäätepisteet edustavat Office 365 palveluita ja riippuvuuksia, jotka eivät edellytä optimointia ja joita asiakasverkot voivat käsitellä tavallisena Internetiin sidottuna liikenteenä. Joitakin tämän luokan päätepisteitä ei ehkä isännöidä Microsoftin palvelinkeskuksissa. Esimerkkejä ovat ja https://odc.officeapps.live.comhttps://appexsin.stb.s-msn.com.

Lisätietoja Office 365 verkon optimointitekniikoista on artikkelissa Office 365 päätepisteiden hallinta.

Eteisverkon suojauksen ja päätepisteen suojauksen vertailu

Perinteisen verkkosuojauksen tavoitteena on koventaa yrityksen verkon rajaa tunkeutumiselta ja haitallisilta hyökkäyksilta. Kun organisaatiot ottavat käyttöön Microsoft 365:n, jotkin verkkopalvelut ja tiedot siirretään osittain tai kokonaan pilvipalveluun. Mitä tulee verkkoarkkitehtuurin perustavaa laatua olevaan muutokseen, tämä prosessi edellyttää verkon suojauksen uudelleenarviointia, jossa otetaan huomioon uudet tekijät:

  • Kun pilvipalvelut hyväksytään, verkkopalvelut ja tiedot jaetaan paikallisten palvelinkeskusten ja pilvipalvelujen välillä, eikä eteisverkon suojaus enää yksinään riitä.
  • Etäkäyttäjät muodostavat yhteyden yrityksen resursseihin sekä paikallisissa palvelinkeskuksissa että pilvessä hallitsemattomista paikoista, kuten kodeista, hotelleista ja kahviloista.
  • Tarkoitukseen luodut suojausominaisuudet ovat yhä enemmän pilvipalveluihin sisäänrakennettuja, ja ne voivat mahdollisesti täydentää tai korvata olemassa olevia suojausjärjestelmiä.

Microsoft tarjoaa laajan valikoiman Microsoft 365:n suojausominaisuuksia ja ohjailevia ohjeita suojauksen parhaiden käytäntöjen käyttöön, joiden avulla voit varmistaa Microsoft 365:n tietojen ja verkon suojauksen. Suositeltuja parhaita käytäntöjä ovat muun muassa seuraavat:

  • Monimenetelmäisen todentamisen (MFA) käyttäminen MFA lisää ylimääräisen suojauskerroksen vahvaan salasanastrategiaan edellyttämällä käyttäjiä tunnustamaan puhelun, tekstiviestin tai sovellusilmoituksen älypuhelimessaan salasanan syöttämisen jälkeen.

  • Käytä Microsoft Defender for Cloud Apps Määritä käytännöt, jos haluat seurata poikkeavaa toimintaa ja käsitellä sitä. Määritä ilmoitukset, joissa on Microsoft Defender for Cloud Apps, jotta järjestelmänvalvojat voivat tarkastella epätavallista tai riskialtista käyttäjän toimintaa, kuten suurten tietomäärien lataamista, useita epäonnistuneita kirjautumisyrityksiä tai yhteyksiä tuntemattomista tai vaarallisista IP-osoitteista.

  • Tietojen menetyksen estämisen (DLP) määrittäminen DLP:n avulla voit tunnistaa luottamuksellisia tietoja ja luoda käytäntöjä, jotka estävät käyttäjiä jakamasta tietoja vahingossa tai tarkoituksella. DLP toimii Microsoft 365:ssä, mukaan lukien Exchange Online, SharePoint Onlinessa ja OneDrivessa, jotta käyttäjät voivat pysyä yhteensopivina keskeyttämättä työnkulkuaan.

  • Asiakkaan lockboxin käyttäminen Microsoft 365 -järjestelmänvalvojana voit asiakkaan Lockboxin avulla hallita sitä, miten Microsoftin tukihenkilö käyttää tietojasi ohjeistunnon aikana. Jos teknikko edellyttää tietojensa käyttöä vianmääritykseen ja ongelman korjaamiseen, Customer Lockbox antaa sinun hyväksyä tai hylätä käyttöoikeuspyynnön.

  • Käytä Office 365 Secure Scorea Suojausanalytiikkatyökalu, joka suosittelee, mitä voit tehdä riskien pienentämiseksi edelleen. Suojattu pistemäärä tarkastelee Microsoft 365:n asetuksia ja toimintoja ja vertaa niitä Microsoftin määrittämään perusaikatauluun. Saat pisteet sen perusteella, miten linjassa olet parhaiden suojauskäytäntöjen kanssa.

Kokonaisvaltaisen lähestymistavan parannetun suojauksen olisi sisällettävä seuraavat seikat:

  • Painopiste siirtyy eteisalueen suojauksesta kohti päätepisteen suojausta käyttämällä pilvipohjaisia ja Office-asiakasohjelman suojausominaisuuksia.
    • Pienennä eteissuojauksen rajat palvelinkeskukseen
    • Ota käyttöön vastaava luottamus käyttäjän laitteille Officessa tai etäsijainneissa
    • Keskity tietojen sijainnin ja käyttäjän sijainnin suojaamiseen
    • Hallittujen käyttäjäkoneiden luottamus päätepisteen suojaukseen on suurempi
  • Hallitse kaikkia tietojen suojausta kokonaisvaltaisesti, ei pelkästään edustan mukaan
    • Määritä WAN uudelleen ja luo edustaverkon suojaus sallimalla luotetun liikenteen ohittaa suojauslaitteet ja erottamalla hallitsemattomat laitteet vieraskäyttäjien Wi-Fi verkkoihin
    • Yrityksen WAN-reunan verkon suojausvaatimusten vähentäminen
    • Joitakin eteisverkon suojauslaitteita, kuten palomuuria, tarvitaan edelleen, mutta kuormitusta vähennetään
    • Varmistaa microsoft 365 -liikenteen paikallisen lähtevän liikenteen
  • Parannuksia voidaan käsitellä asteittain lisäävän optimoinnin osiossa kuvatulla tavalla. Jotkin optimointitekniikat saattavat tarjota parempia kustannus-hyötysuhteita verkkoarkkitehtuuristasi riippuen, ja valitse optimoinnit, jotka ovat järkevimpiä organisaatiollesi.

Lisätietoja Microsoft 365:n suojauksesta ja yhteensopivuuden noudattamisesta on artikkeleissa Microsoft 365:n suojaus ja Microsoft Purview.

Lisäävä optimointi

Olemme aiemmin tässä artikkelissa edustaneet SaaS:n ihanteellista verkkoyhteysmallia, mutta monille suurille organisaatioille, joilla on historiallisesti monimutkaisia verkkoarkkitehtuureja, kaikkien muutosten tekeminen suoraan ei ole käytännöllistä. Tässä osiossa käsitellään monia lisääviä muutoksia, jotka voivat auttaa parantamaan Microsoft 365:n suorituskykyä ja luotettavuutta.

Microsoft 365 -liikenteen optimointimenetelmät vaihtelevat verkkotopologian ja käyttöön ottamiesi verkkolaitteiden mukaan. Suurten yritysten, joilla on useita sijainteja ja monimutkaisia verkon suojauskäytäntöjä, on kehitettävä strategia, joka sisältää useimmat tai kaikki Microsoft 365 -yhteysperiaatteet -osiossa luetellut periaatteet, kun taas pienempien organisaatioiden on ehkä harkittava vain yhtä tai kahta.

Voit lähestyä optimointia lisäävänä prosessina käyttämällä kutakin menetelmää peräkkäin. Seuraavassa taulukossa on lueteltu tärkeimpien optimointimenetelmien järjestys, joka vaikuttaa suurimman käyttäjämäärän viivettä ja luotettavuuteen.

Optimointimenetelmä Kuvaus Vaikutus
Paikallinen DNS-ratkaisu ja Internet-lähteminen
Valmistele paikalliset DNS-palvelimet jokaisessa sijainnissa ja varmista, että Microsoft 365 -yhteydet lähtevät Internetiin mahdollisimman lähelle käyttäjän sijaintia.
Pienennä viive
Luotettavan yhteyden parantaminen lähimpään Microsoft 365 :n aloituskohtaan
Lisää alueellisia lähtevän liikenteen pisteitä
Jos yritysverkossasi on useita sijainteja, mutta vain yksi lähtemispiste, lisää alueellisia lähtevän liikenteen pisteitä, jotta käyttäjät voivat muodostaa yhteyden lähimpään Microsoft 365 -aloituskohtaan.
Pienennä viive
Luotettavan yhteyden parantaminen lähimpään Microsoft 365 :n aloituskohtaan
Ohita välityslaitteet ja tarkastuslaitteet
Määritä selaimet PAC-tiedostoilla, jotka lähettävät Microsoft 365 -pyyntöjä suoraan lähteviin kohtiin.
Määritä reunareitittimet ja palomuurit sallimaan Microsoft 365 -liikenne ilman tarkastusta.
Pienennä viive
Verkkolaitteiden kuormituksen vähentäminen
Ota suora yhteys käyttöön VPN-käyttäjille
Vpn-käyttäjien kohdalla microsoft 365 -yhteydet voivat muodostaa yhteyden suoraan käyttäjän verkosta VPN-tunnelin sijaan ottamalla käyttöön jaetun tunneloinnin.
Pienennä viive
Luotettavan yhteyden parantaminen lähimpään Microsoft 365 :n aloituskohtaan
Siirtyminen perinteisestä WAN:sta SD-WAN:iin
SD-WANs (Software Defined Wide Area Networks) yksinkertaistaa WAN-hallintaa ja parantaa suorituskykyä korvaamalla perinteiset WAN-reitittimet näennäislaitteilla samalla tavalla kuin näennäiskoneita käyttävien käsittelyresurssien virtualisointi.
Wan-liikenteen suorituskyvyn ja hallittavuuden parantaminen
Verkkolaitteiden kuormituksen vähentäminen

Microsoft 365 :n verkkoyhteyksien yleiskatsaus

Office 365 -päätepisteiden hallinta

Office 365:n URL-osoitteet ja IP-osoitealueet.

Office 365:n IP-osoite ja URL-verkkopalvelu

Microsoft 365:n verkkoyhteyden arviointi

Microsoft 365:n verkon suunnittelu ja suorituskyvyn säätö

Office 365 suorituskyvyn säätö perusaikataulujen ja suorituskykyhistorian avulla

Office 365 suorituskyvyn vianmäärityssuunnitelma

Sisällön toimitusverkostot

Microsoft 365 -yhteystesti

Näin Microsoft luo nopean ja luotettavan maailmanlaajuisen verkkonsa

Office 365 Networking -blogi