Teamsin medialiikenteen suojaaminen VPN-jakotunnelointipalvelua varten

Huomautus

Tämä artikkeli on osa artikkeleita, jotka käsittelevät Microsoft 365:n optimointia etäkäyttäjille.

• Yleiskatsaus MICROSOFT 365 -yhteyden optimoinnista etäkäyttäjille VPN-tunneloinnin avulla on artikkelissa Yleiskatsaus: VPN:n jakotunneli Microsoft 365:lle.
• Tarkempia ohjeita VPN-jakotunnelin käyttöönotosta on artikkelissa VPN-tunneloinnin toteuttaminen Microsoft 365:lle.
• Yksityiskohtainen luettelo VPN:n jakotunnelin skenaarioista on artikkelissa Microsoft 365:n yleiset VPN-jakotunnelin skenaariot.
• Lisätietoja Streamin ja live-tapahtumien määrittämisestä VPN-ympäristöissä on kohdassa Streamiin liittyvät erityisnäkökohdat ja VPN-ympäristöjen live-tapahtumat.
• Lisätietoja Microsoft 365:n maailmanlaajuisen vuokraajan suorituskyvyn optimoimisesta käyttäjille Kiinassa on artikkelissa Microsoft 365:n suorituskyvyn optimointi Kiinan käyttäjille.

Jotkin Microsoft Teams -järjestelmänvalvojat saattavat vaatia yksityiskohtaisia tietoja siitä, miten puhelutyönkulut toimivat Teamsissa jaetun tunnelointimallin avulla ja miten yhteydet suojataan.

Määritykset

Jos sekä kutsuissa että kokouksissa pakolliset Ip-aliverkkojen optimointi Teams-medialle ovat oikein reititystaulukossa, kun Teams kutsuu GetBestRoute-funktiota määrittääkseen, mikä paikallinen liittymä vastaa reittiä, jota sen tulisi käyttää tiettyyn kohteeseen, paikallinen liittymä palautetaan Microsoftin kohteisiin yllä luetelluissa Microsoftin IP-lohkoissa.

Jotkin VPN-asiakasohjelmistot mahdollistavat reitityksen käsittelyn URL-osoitteen perusteella. Teams-medialiikenteeseen ei kuitenkaan ole liitetty URL-osoitetta, joten tämän liikenteen reitityksen hallinta on tehtävä IP-aliverkkojen avulla.

Joissakin tilanteissa, jotka eivät usein liity Teamsin asiakaskokoonpanoon, medialiikenne kulkee edelleen VPN-tunnelin läpi, vaikka oikeat reitit ovat paikoillaan. Jos törmäät tähän skenaarioon, riittää, että käytät palomuurisääntöä, joka estää Teamsin IP-aliverkkoja tai portteja käyttämästä VPN:ää.

Tärkeää

Varmista, että Teams-medialiikenne reititetään halutulla tavalla kaikissa VPN-tilanteissa varmistamalla, että käyttäjillä on käytössä Microsoft Teams -asiakasversio 1.3.00.13565 tai uudempi. Tämä versio sisältää parannuksia siihen, miten asiakas havaitsee käytettävissä olevat verkkopolut.

Signaaliliikenne suoritetaan HTTPS-yhteyden kautta, eikä se ole yhtä viiveellä merkitsevä kuin medialiikenne, ja se on merkitty Salli URL-/IP-tiedoissa, joten se voidaan turvallisesti reitittää VPN-asiakkaan kautta tarvittaessa.

Huomautus

Microsoft Edge 96 tai uudempi versio tukee myös VPN-tunneloinnin jakamista vertaisliikenteeseen. Tämä tarkoittaa sitä, että asiakkaat voivat hyötyä VPN:n jakotunnelista esimerkiksi Edgen Teams-verkkoasiakkaille. Asiakkaat, jotka haluavat määrittää sen Edgessä toimiville sivustoille, voivat saavuttaa sen poistamalla käytöstä Edge WebRtcRespectOsRoutingTableEnabled -käytännön.

Tietoturva

Yksi yleinen argumentti jaettujen tunneleiden välttämiseksi on se, että se on vähemmän turvallista, eli liikenne, joka ei mene VPN-tunnelin läpi, ei hyödy mistään VPN-tunnelin salausmallista, joten se on vähemmän turvallinen.

Tärkein vastaväite tälle on se, että medialiikenne on jo salattu SRTP -protokollan (Secure Real-Time Transport Protocol) avulla. Se on rtp-protokollan (Real-Time Transport Protocol) profiili, joka tarjoaa luottamuksellisuuden, todentamisen ja hyökkäyssuojauksen RTP-liikenteelle. SRTP itse käyttää satunnaisesti luotua istuntoavainta, joka vaihdetaan TLS-suojatun signaalikanavan kautta. Tämä käsitellään yksityiskohtaisesti tässä suojausoppaassa, mutta tärkein kiinnostuksen kohde on mediasalaus.

Medialiikenne salataan SRTP:llä, joka käyttää suojatun satunnaislukugeneraattorin luomaa istuntoavainta, joka vaihdetaan TLS-signaalikanavan avulla. Lisäksi mediavirta molempiin suuntiin välityspalvelimen ja sen sisäisen seuraavan siirtymän välillä salataan SRTP:n avulla.

Skype for Business Online luo käyttäjänimen/salasanan, jotta voit turvallisesti käyttää mediarelejä Traversal Using Relays around NAT (TURN) -ympäristössä. Mediaviestit vaihtavat käyttäjänimen/salasanan TLS-suojatulla SIP-kanavalla. On syytä huomata, että vaikka VPN-tunnelia voidaan käyttää asiakkaan yhdistämiseen yritysverkkoon, liikenteen on silti virrattava SRTP-muodossaan, kun se lähtee yritysverkosta päästäkseen palveluun.

Tietoja siitä, miten Teams lieventää yleisiä suojausongelmia, kuten äänen tai istunnon läpikulkuapuohjelmia NAT (STUN) -vahvistushyökkäyksille, löytyy kohdasta 5.1 Suojaukseen liittyvät seikat toteuttajille.

Voit myös lukea nykyaikaisista suojauksen hallinnasta etätyötilanteissa artikkelista Vaihtoehtoisia tapoja tietoturva-ammattilaisille ja IT-asiantuntijoille modernin suojauksen hallinnan aikaansaamiseksi tämän päivän ainutlaatuisissa etätyöskenaariossa (Microsoftin tietoturvatiimin blogi).

Testaus

Kun käytäntö on käytössä, varmista, että se toimii odotetulla tavalla. On useita tapoja testata polku on määritetty oikein käyttämään paikallista Internet-yhteyttä:

• Suorita Microsoft 365 -yhteystesti , joka suorittaa yhteystestit puolestasi, mukaan lukien jäljitysreitit edellä kuvatulla tavalla. Lisäämme myös VPN-testejä tähän työkaluun, jonka pitäisi myös tarjota lisää merkityksellisiä tietoja.

• Jaetun tunnelin vaikutusalueella olevaan päätepisteeseen kohdistetun yksinkertaisen jäljityksen pitäisi näyttää kulkenut polku, esimerkiksi:

  tracert worldaz.tr.teams.microsoft.com
  

  Sinun pitäisi nähdä paikallisen Internet-palveluntarjoajalta tähän päätepisteeseen johtava polku, jonka pitäisi ratkaista IP-osoitteet jaetun tunneloinnin määrittämiseksi määrittämieni Teams-alueiden välillä.

• Ota verkkosieppaus käyttämällä wireshark-työkalua. Suodata UDP-suodatin puhelun aikana, jolloin liikenne virtaa IP-osoitteelle Teamsin optimointi -alueella. Jos VPN-tunneli on käytössä tälle liikenteelle, medialiikenne ei näy jäljitystoiminnossa.

Lisätukilokit

Jos tarvitset lisätietoja vianmääritykseen tai pyydät apua Microsoftin tuelta, seuraavien tietojen hankkimisen pitäisi mahdollistaa ratkaisun löytämisen nopeuttaminen. Microsoft-tuen TSS Windows CMD -pohjainen yleinen TroubleShooting Script -työkalusarja voi auttaa sinua keräämään tarvittavat lokit yksinkertaisella tavalla. Työkalu ja käyttöohjeet löytyvät osoitteesta https://aka.ms/TssTools.

Aiheeseen liittyviä artikkeleita

Yleiskatsaus: VPN-tunneloinnin jakaminen Microsoft 365:lle

VPN:n jakotunnelin toteuttaminen Microsoft 365:lle

Microsoft 365:n yleiset VPN-jakotunnelin skenaariot

Huomioon otettavia seikkoja Streamissa ja VPN-ympäristöjen live-tapahtumissa

Microsoft 365:n suorituskyvyn optimointi Kiinan käyttäjille

Microsoft 365:n verkkoyhteysperiaatteet

Microsoft 365:n verkkoyhteyden arviointi

Microsoft 365 -verkko ja suorituskyvyn säätö

Vaihtoehtoisia tapoja tietoturva-ammattilaisille ja IT-asiantuntijoille modernin suojauksen hallinnan aikaansaamiseksi tämän päivän ainutlaatuisissa etätyötilanteissa (Microsoftin tietoturvatiimin blogi)

VPN-suorituskyvyn parantaminen Microsoftilla: Windows 10 VPN-profiilien käyttäminen automaattisten yhteyksien sallimiseen

Vpn:n käyttö: Miten Microsoft pitää etätyövoimansa yhteydessä

Microsoftin yleinen verkko