Principes de connectivité réseau Microsoft 365

Cet article est valable pour Microsoft 365 Entreprise et Office 365 Entreprise.

Avant de commencer à planifier votre réseau pour la connectivité réseau Microsoft 365, il est important de comprendre les principes de connectivité pour gérer de manière sécurisée le trafic Microsoft 365 et obtenir les meilleures performances possibles. Cet article vous aide à comprendre les conseils les plus récents pour optimiser en toute sécurité la connectivité réseau Microsoft 365.

Les réseaux d’entreprise traditionnels sont principalement conçus pour fournir aux utilisateurs l’accès aux applications et aux données hébergées dans des centres de données, gérés par l’entreprise avec un périmètre de sécurité renforcé. Le modèle traditionnel suppose que les utilisateurs accéderont aux applications et aux données depuis l’intérieur du périmètre du réseau d’entreprise, via des liaisons WAN depuis les succursales, ou à distance via des connexions VPN.

L’adoption d’applications SaaS comme Microsoft 365 déplace une combinaison de services et de données en dehors du périmètre du réseau. Sans optimisation, le trafic entre les utilisateurs et les applications SaaS est soumis à une latence introduite par l’inspection des paquets, les épingles réseau, les connexions accidentelles à des points de terminaison géographiquement distants et d’autres facteurs. Vous pouvez garantir les meilleures performances et fiabilité de Microsoft 365 en comprenant et en mettant en œuvre les principales directives d’optimisation.

Dans cet article, vous allez découvrir les points suivants :

Architecture de Microsoft 365

Microsoft 365 est un cloud SaaS (Software-as-a-Service) distribué qui fournit des scénarios de productivité et de collaboration via un ensemble diversifié de microservices et d’applications. Par exemple, Exchange Online, SharePoint Online, Skype Entreprise Online, Microsoft Teams, Exchange Online Protection, Office dans un navigateur et bien d’autres. Bien que des applications Microsoft 365 spécifiques puissent avoir leurs fonctionnalités uniques telles qu’elles s’appliquent au réseau client et à la connectivité au cloud, elles partagent toutes des principaux, des objectifs et des modèles d’architecture clés. Ces principes et modèles d’architecture pour la connectivité sont typiques de nombreux autres clouds SaaS. En même temps, ils sont différents des modèles de déploiement classiques des clouds Platform-as-a-Service et Infrastructure-as-a-Service, tels que Microsoft Azure.

L’une des fonctionnalités architecturales les plus importantes de Microsoft 365 (souvent manquée ou mal interprétée par les architectes réseau) est qu’il s’agit d’un service distribué véritablement mondial, dans le contexte de la façon dont les utilisateurs s’y connectent. L’emplacement du locataire Microsoft 365 cible est important pour comprendre la localité où les données client sont stockées dans le cloud. Toutefois, l’expérience utilisateur avec Microsoft 365 n’implique pas la connexion directe aux disques contenant les données. L’expérience utilisateur avec Microsoft 365 (notamment les performances, la fiabilité et d’autres caractéristiques de qualité importantes) implique une connectivité via des points d’entrée de service hautement distribuées qui sont étendues à des centaines de sites Microsoft dans le monde. Dans la plupart des cas, la meilleure expérience utilisateur est obtenue en permettant au réseau client d’acheminer les demandes des utilisateurs vers le point d’entrée de service Microsoft 365 le plus proche. Cela est préférable plutôt que de se connecter à Microsoft 365 via un point de sortie dans un emplacement ou une région centrale.

Pour la plupart des clients, les utilisateurs de Microsoft 365 sont répartis dans de nombreux emplacements. Pour obtenir les meilleurs résultats, les principes décrits dans ce document doivent être examinés du point de vue du scale-out (et non du scale-up). Tout en mettant l’accent sur l’optimisation de la connectivité au point de présence le plus proche dans le réseau global Microsoft, et non à l’emplacement géographique du locataire Microsoft 365. En substance, cela signifie que même si les données du locataire Microsoft 365 peuvent être stockées dans un emplacement géographique spécifique, l’expérience Microsoft 365 pour ce locataire reste distribuée. Il peut être présent à proximité (réseau) très proche de chaque emplacement de l’utilisateur final dont dispose le locataire.

Principes de connectivité de Microsoft 365

Microsoft recommande les principes suivants pour obtenir une connectivité et des performances Microsoft 365 optimales. Utilisez ces principes de connectivité de Microsoft 365 pour gérer votre trafic et obtenir les meilleures performances lors de la connexion à Microsoft 365.

L’objectif principal de la conception du réseau doit être de minimiser la latence en réduisant le round-trip time (RTT) de votre réseau vers le réseau mondial Microsoft, l’épine dorsale du réseau public de Microsoft qui interconnecte tous les centres de données de Microsoft avec une faible latence et une répartition des points d’entrée des applications cloud dans le monde. Si vous souhaitez en savoir plus sur le réseau mondial de Microsoft, consultez l’article Comment Microsoft construit son réseau mondial rapide et fiable.

Identifier et différencier le trafic de Microsoft 365

Identifier le trafic de Microsoft 365.

L’identification du trafic réseau de Microsoft 365 est la première étape pour pouvoir différencier ce trafic du trafic réseau générique lié à Internet. La connectivité Microsoft 365 peut être optimisée en implémentant une combinaison d’approches telles que l’optimisation des routes réseau, les règles de pare-feu et les paramètres de proxy de navigateur. En outre, le contournement des périphériques d’inspection réseau pour certains points de terminaison est également bénéfique.

Les précédents conseils relatifs à l’optimisation de Microsoft 365 divisaient les points de terminaison Microsoft 365 en deux catégories : Obligatoires et Facultatifs. Les points de terminaison ayant été ajoutés pour prendre en charge les nouveaux services et fonctionnalités Microsoft 365, nous avons réorganisé les points de terminaison Microsoft 365 en trois catégories : Optimiser, Autoriser et Par défaut. Les recommandations pour chaque catégorie s’appliquent à tous les points de terminaison de la catégorie, ce qui facilite la compréhension et l’implémentation des optimisations.

Si vous souhaitez obtenir plus d’informations sur les catégories de points de terminaison et les méthodes d’optimisation de Microsoft 365, consultez la section Nouvelles catégories de points de terminaison Office 365.

Microsoft publie désormais tous les points de terminaison Microsoft 365 en tant que service web et fournit des conseils sur la meilleure façon d’utiliser ces données. Si vous souhaitez obtenir plus d’informations sur la récupération et l’utilisation des points de terminaison Microsoft 365, consultez l’article URL et plages d’adresses IP Office 365.

Connexions réseau en sortie localement

Egressez les connexions réseau localement.

Le DNS local et la sortie Internet sont d’une importance cruciale pour réduire la latence de connexion et garantir que les connexions des utilisateurs s’effectuent au point d’entrée le plus proche des services Microsoft 365. Dans une topologie de réseau complexe, il est important d’implémenter à la fois le DNS local et la sortie Internet locale. Si vous souhaitez obtenir plus d’informations sur la manière dont Microsoft 365 achemine les connexions client vers le point d’entrée le plus proche, consultez l’article Connectivité client.

Avant l’avènement des services cloud comme Microsoft 365, la connectivité Internet de l’utilisateur final en tant que facteur de conception de l’architecture réseau était relativement simple. Lorsque les services Internet et les sites web sont distribués dans le monde entier, la latence entre les points de sortie de l’entreprise et le point de terminaison de destination donné résulte, en grande partie, de la distance géographique.

Dans une architecture de réseau traditionnelle, toutes les connexions Internet sortantes traversent le réseau de l’entreprise et sortent d’un emplacement central. Avec l’évolution des offres cloud de Microsoft, une architecture réseau distribuée orientée Internet est devenue essentielle pour prendre en charge les services cloud sensibles à la latence. Le réseau mondial Microsoft a été conçu pour répondre aux exigences de latence avec l’infrastructure de point d’entrée du service distribué, une structure dynamique de points d’entrée mondiaux qui achemine les connexions de service cloud entrantes vers le point d’entrée le plus proche. Cela vise à réduire la longueur du « dernier kilomètre » pour les clients du cloud Microsoft en raccourcissant efficacement la route entre le client et le cloud.

Les WAN d’entreprise sont souvent conçus pour acheminer le trafic réseau vers un siège social central de l’entreprise pour inspection avant la sortie vers Internet, généralement via un ou plusieurs serveurs proxy. Le diagramme suivant illustre une telle topologie de réseau.

Modèle de réseau d’entreprise traditionnel.

Étant donné que Microsoft 365 s’exécute sur le réseau global Microsoft, qui inclut des serveurs frontaux dans le monde entier, il existe souvent un serveur frontal proche de l’emplacement de l’utilisateur. En fournissant une sortie Internet locale et en configurant des serveurs DNS internes afin d’offrir une résolution de nom local pour les points de terminaison Microsoft 365, le trafic réseau destiné à Microsoft 365 peut se connecter aux serveurs frontaux Microsoft 365 le plus près possible de l’utilisateur. Le diagramme suivant montre un exemple de topologie de réseau qui permet aux utilisateurs de se connecter à partir de main bureau, de succursale et d’emplacements distants de suivre l’itinéraire le plus court vers le point d’entrée Microsoft 365 le plus proche.

Modèle de réseau WAN avec points de sortie régionaux.

Le raccourcissement du chemin d’accès réseau aux points d’entrée Microsoft 365 de cette façon peut améliorer les performances de connectivité et l’expérience de l’utilisateur final dans Microsoft 365. Il peut également aider à réduire l’effet des modifications futures apportées à l’architecture réseau sur les performances et la fiabilité de Microsoft 365.

De plus, les requêtes DNS peuvent introduire une latence si le serveur DNS répondant est distant ou occupé. Vous pouvez réduire la latence de résolution de noms en approvisionnant des serveurs DNS locaux dans des emplacements de branche et en vous assurant qu’ils sont configurés pour mettre en cache les enregistrements DNS de manière appropriée.

Bien que la sortie régionale puisse fonctionner correctement pour Microsoft 365, le modèle de connectivité optimal consiste à toujours fournir une sortie réseau à l’emplacement de l’utilisateur, qu’il s’agisse du réseau d’entreprise ou d’emplacements distants tels que les maisons, les hôtels, les cafés et les aéroports. Ce modèle de sortie directe locale est représenté dans le diagramme suivant.

Architecture du réseau de sortie local.

Les entreprises qui ont adopté Microsoft 365 peuvent profiter de l’architecture de point d’entrée du service distribué du réseau mondial Microsoft en s’assurant que les connexions des utilisateurs à Microsoft 365 empruntent l’itinéraire le plus court possible vers le point d’entrée du réseau mondial Microsoft le plus proche. Pour ce faire, l’architecture du réseau de sortie local permet au trafic Microsoft 365 d’être acheminé vers la sortie la plus proche, quel que soit l’emplacement de l’utilisateur.

L’architecture de sortie locale présente les avantages suivants par rapport au modèle traditionnel :

  • Fournit des performances Microsoft 365 optimales en optimisant la longueur de l’itinéraire. Les connexions des utilisateurs finaux sont acheminées de manière dynamique vers le point d’entrée Microsoft 365 le plus proche par l’infrastructure de point de service distribué.
  • Réduit la charge sur l’infrastructure réseau de l’entreprise en autorisant la sortie locale.
  • Sécurise les connexions aux deux extrémités à l’aide des fonctionnalités de sécurité du point de terminaison client et de sécurité cloud.

Éviter les épingles de réseau

Évitez les épingles.

En règle générale, l’itinéraire le plus court et le plus direct entre l’utilisateur et le point de terminaison Microsoft 365 le plus proche offre les meilleures performances. Une épingle de réseau se produit lorsque le trafic WAN ou VPN, lié à une destination particulière, est d’abord dirigé vers un autre emplacement intermédiaire (comme la pile de sécurité, le courtier d’accès au cloud, d’une passerelle web basée sur le cloud), introduisant une latence et une redirection potentielle vers un point de terminaison géographiquement éloigné. Les épingles de réseau sont également provoquées par des inefficacités de routage/peering ou des recherches DNS non optimales (distantes).

Pour vous assurer que la connectivité Microsoft 365 n’est pas soumise à des épingles de réseau, même dans le cas de sortie locale, case activée si le fournisseur de services Internet utilisé pour fournir une sortie Internet pour l’emplacement de l’utilisateur a une relation de peering directe avec le réseau global Microsoft à proximité de cet emplacement. Vous pouvez également configurer le routage de sortie pour envoyer directement le trafic Microsoft 365 approuvé. Cela s’oppose à un proxy ou à un tunneling via un fournisseur de sécurité réseau cloud tiers ou basé sur le cloud qui traite votre trafic internet. La résolution de noms DNS locale des points de terminaison Microsoft 365 permet de garantir qu’en plus du routage direct, les points d’entrée Microsoft 365 les plus proches sont utilisés pour les connexions utilisateur.

Si vous utilisez un réseau cloud ou des services de sécurité pour votre trafic Microsoft 365, assurez-vous que le résultat de l’épingle est évalué et que son impact sur les performances de Microsoft 365 est compris. Pour ce faire, vous pouvez examiner le nombre et l’emplacement des emplacements des fournisseurs de services par le biais desquels le trafic est transféré en fonction du nombre de succursales et de points de peering du Réseau mondial Microsoft, de la qualité de la relation de peering réseau du fournisseur de services avec votre fournisseur de services Internet et Microsoft, et de l’impact sur les performances du backhauling dans l’infrastructure du fournisseur de services.

En raison du grand nombre d’emplacements distribués avec des points d’entrée Microsoft 365 et de leur proximité avec les utilisateurs finaux, le routage du trafic Microsoft 365 vers n’importe quel réseau tiers ou fournisseur de sécurité peut avoir un impact négatif sur les connexions Microsoft 365 si le réseau du fournisseur n’est pas configuré pour un peering Microsoft 365 optimal.

Évaluer les proxys de contournement, les dispositifs d’inspection du trafic et les technologies de sécurité en double

Contourner les proxys, les dispositifs d’inspection du trafic et les technologies de sécurité en double.

Les clients d’entreprise doivent examiner leurs méthodes de sécurité réseau et de réduction des risques spécifiquement pour le trafic lié à Microsoft 365 et utiliser les fonctionnalités de sécurité Microsoft 365 pour réduire leur dépendance à l’égard des technologies de sécurité réseau intrusives, qui impactent les performances et sont coûteuses pour le trafic réseau Microsoft 365.

La plupart des réseaux d’entreprise appliquent la sécurité réseau pour le trafic Internet à l’aide de technologies telles que les proxys, l’inspection TLS, l’inspection des paquets et les systèmes de protection contre la perte de données. Ces technologies fournissent une atténuation importante des risques pour les demandes Internet génériques, mais peuvent réduire considérablement les performances, l’évolutivité et la qualité de l’expérience de l’utilisateur final lorsqu’elles sont appliquées aux points de terminaison Microsoft 365.

Service web de points de terminaison Office 365

Les administrateurs Microsoft 365 peuvent utiliser un script ou un appel REST pour consommer une liste structurée de points de terminaison à partir du service web de points de terminaison Office 365 et mettre à jour les configurations des pare-feu de périmètre et d’autres périphériques réseau. Cela garantit que le trafic lié à Microsoft 365 est identifié, traité de manière appropriée et géré différemment du trafic réseau lié à des sites Web Internet génériques et souvent inconnus. Si vous souhaitez obtenir plus d’informations sur l’utilisation du service web de points de terminaison Office 365, consultez l’article URL et plages d’adresses IP Office 365.

Scripts PAC (Configuration automatique du proxy)

Les administrateurs Microsoft 365 peuvent créer des scripts PAC (Configuration automatique du proxy) qui peuvent être livrés aux ordinateurs des utilisateurs via WPAD ou GPO. Les scripts PAC peuvent être utilisés pour contourner les proxys pour les demandes Microsoft 365 des utilisateurs WAN ou VPN, permettant au trafic Microsoft 365 d’utiliser des connexions Internet directes plutôt que de traverser le réseau d’entreprise.

Fonctionnalités de sécurité Microsoft 365

Microsoft est transparent sur la sécurité du centre de données, la sécurité opérationnelle et la réduction des risques autour des serveurs Microsoft 365 et des points de terminaison réseau qu’ils représentent. Les fonctionnalités de sécurité intégrées de Microsoft 365 sont disponibles pour réduire les risques de sécurité réseau, telles que Protection contre la perte de données Microsoft Purview, antivirus, authentification multifacteur, Customer Lockbox, Defender for Office 365, Microsoft 365 Threat Intelligence, Microsoft 365 Secure Score, Exchange Online Protection et sécurité DDOS réseau.

Si vous souhaitez en savoir plus sur le centre de données Microsoft et la sécurité du réseau mondial, consultez le Centre de gestion de la confidentialité Microsoft.

Nouvelles catégories de points de terminaison Office 365

Les points de terminaison Office 365 représentent un ensemble varié d’adresses réseau et de sous-réseaux. Les points de terminaison peuvent être des URL, des adresses IP ou des plages d’adresses IP, et certains points de terminaison sont répertoriés avec des ports TCP/UDP spécifiques. Les URL peuvent être soit un nom de domaine complet comme account.office.net, soit une URL générique comme *.office365.com.

Remarque

Les emplacements des points de terminaison Office 365 au sein du réseau ne sont pas directement liés à l’emplacement des données du client Microsoft 365. Pour cette raison, les clients doivent considérer Microsoft 365 comme un service distribué et mondial et ne doivent pas tenter de bloquer les connexions réseau aux points de terminaison Office 365 en fonction des critères géographiques.

Dans notre guide précédent sur la gestion du trafic Microsoft 365, les points de terminaison étaient organisés en deux catégories : obligatoires et facultatifs. Les points de terminaison de chaque catégorie nécessitaient une optimisation différente en fonction de la criticité du service. De nombreux clients ont rencontré des difficultés pour justifier l’application des mêmes optimisations réseau à la liste complète des URL et adresses IP Office 365.

Dans le nouveau modèle, les points de terminaison sont séparés en trois catégories : Optimiser, Autoriser et Par défaut, ce qui permet de concentrer les efforts d’optimisation du réseau pour réaliser les meilleures améliorations de performances et le meilleur retour sur investissement. Les points de terminaison sont consolidés dans les catégories ci-dessus en fonction de la sensibilité de l’expérience utilisateur effective à la qualité du réseau, au volume et à l’enveloppe de performances des scénarios et à la facilité de mise en œuvre. Les optimisations recommandées peuvent être appliquées de la même manière à tous les points de terminaison d’une catégorie donnée.

  • Les points de terminaison Optimiser sont nécessaires pour la connectivité à chaque service Office 365 et représentent plus de 75 % de la bande passante, des connexions et du volume de données Office 365. Ces points de terminaison représentent les scénarios Office 365 les plus sensibles aux performances, à la latence et à la disponibilité du réseau. Tous les points de terminaison sont hébergés dans des centres de données Microsoft. Le taux de changement des paramètres de cette catégorie devrait être bien inférieur à celui des paramètres des deux autres catégories. Cette catégorie comprend un petit (environ 10) ensemble d’URL clés et un ensemble défini de sous-réseaux IP dédiés aux charges de travail principales de Office 365 comme Exchange Online, SharePoint Online, Skype Entreprise Online et Microsoft Teams.

    Une liste condensée des points de terminaison essentiels bien définis devrait vous aider à planifier et à mettre en œuvre plus rapidement et plus facilement des optimisations de réseau de grande valeur pour ces destinations.

    Les points de terminaison Optimize incluent https://outlook.office365.com, https://< tenant.sharepoint.com> et https://< tenant-my.sharepoint.com>.

    Les méthodes d’optimisation sont les suivantes :

    • Ignorez les points de terminaison Optimize sur les appareils réseau et les services qui effectuent l’interception du trafic, le déchiffrement TLS, l’inspection approfondie des paquets et le filtrage du contenu.
    • Contourner les périphériques proxy locaux et les services proxy basés sur le cloud couramment utilisés pour la navigation Internet générique.
    • Donner la priorité à l’évaluation de ces points de terminaison comme étant pleinement approuvés par votre infrastructure réseau et vos systèmes de périmètre.
    • Donner la priorité à la réduction ou à l’élimination du réseau backhaul WAN et faciliter la sortie Internet distribuée directe pour ces terminaux aussi près que possible des utilisateurs/succursales.
    • Faciliter la connectivité directe à ces points de terminaison cloud pour les utilisateurs VPN en mettant en œuvre la segmentation de tunnel.
    • Assurez-vous que les adresses IP renvoyées par la résolution de noms DNS correspondent au chemin d’accès de sortie de routage pour ces points de terminaison.
    • Donnez la priorité à ces points de terminaison pour l’intégration SD-WAN pour un routage direct et à latence minimale vers le point d’appairage Internet le plus proche du réseau mondial Microsoft.
  • Les points de terminaison autorisés sont requis pour la connectivité à des services et fonctionnalités Office 365 spécifiques, mais ne sont pas aussi sensibles aux performances et à la latence du réseau que ceux de la catégorie Optimiser. L’empreinte globale de ces points de terminaison du point de vue de la bande passante et du nombre de connexions est également plus petite. Ces points de terminaison sont dédiés à Office 365 et sont hébergés dans des centres de données Microsoft. Ils représentent un large éventail de microservices Office 365 et leurs dépendances (de l’ordre d’environ 100 URL) et sont censés changer à un taux plus élevé que ceux de la catégorie Optimiser. Tous les points de terminaison de cette catégorie ne sont pas associés à des sous-réseaux IP dédiés définis.

    Les optimisations réseau pour Autoriser les points de terminaison peuvent améliorer l’expérience utilisateur Office 365, mais certains clients peuvent choisir d’étendre ces optimisations de manière plus étroite pour réduire les modifications apportées à leur réseau.

    Parmi les exemples d’autoriser les points de terminaison, citons https ://*.protection.outlook.com et https://accounts.accesscontrol.windows.net.

    Les méthodes d’optimisation sont les suivantes :

    • Contourner Autoriser les points de terminaison sur les appareils réseau et les services qui effectuent l’interception du trafic, le déchiffrement TLS, l’inspection approfondie des paquets et le filtrage de contenu.
    • Donner la priorité à l’évaluation de ces points de terminaison comme étant pleinement approuvés par votre infrastructure réseau et vos systèmes de périmètre.
    • Donner la priorité à la réduction ou à l’élimination du réseau backhaul WAN et faciliter la sortie Internet distribuée directe pour ces terminaux aussi près que possible des utilisateurs/succursales.
    • Assurez-vous que les adresses IP renvoyées par la résolution de noms DNS correspondent au chemin d’accès de sortie de routage pour ces points de terminaison.
    • Donnez la priorité à ces points de terminaison pour l’intégration SD-WAN pour un routage direct et à latence minimale vers le point d’appairage Internet le plus proche du réseau mondial Microsoft.
  • Les points de terminaison par défaut représentent Office 365 services et dépendances qui ne nécessitent aucune optimisation et qui peuvent être traités par les réseaux clients comme du trafic Internet normal. Certains points de terminaison de cette catégorie peuvent ne pas être hébergés dans des centres de données Microsoft. Exemples : https://odc.officeapps.live.com et https://appexsin.stb.s-msn.com.

Si vous souhaitez en savoir plus sur les techniques d’optimisation du réseau Office 365, consultez l’article Gestion des points de terminaison Office 365.

Comparaison de la sécurité du périmètre du réseau et de la sécurité des points de terminaison

L’objectif de la sécurité réseau traditionnelle est de renforcer le périmètre du réseau de l’entreprise contre les intrusions et les logiciels malveillants. Les organisations adoptant Microsoft 365, certains services réseau et données sont partiellement ou complètement migrés vers le cloud. Comme pour tout changement fondamental de l’architecture du réseau, ce processus nécessite une réévaluation de la sécurité du réseau qui prend en compte les facteurs émergents :

  • À mesure que les services cloud sont adoptés, les services réseau et les données sont distribués entre les centres de données locaux et sur le cloud, et la sécurité du périmètre n’est plus appropriée.
  • Les utilisateurs distants se connectent aux ressources de l’entreprise à la fois dans les centres de données locaux et dans le cloud à partir d’emplacements non contrôlés comme les domiciles, les hôtels et les cafés.
  • Des fonctionnalités de sécurité spécialement conçues sont de plus en plus intégrées aux services cloud et peuvent potentiellement compléter ou remplacer les systèmes de sécurité existants.

Microsoft propose une large gamme de fonctionnalités de sécurité Microsoft 365 et fournit des directives concernant l’utilisation des meilleures pratiques de sécurité qui peuvent vous aider à garantir la sécurité des données et du réseau pour Microsoft 365. Les meilleures pratiques recommandées sont les suivantes :

  • Utiliser l’authentification multifacteur (MFA) L’authentification multifacteur ajoute une couche supplémentaire de protection à une stratégie de mot de passe fort en exigeant que les utilisateurs accusent réception d’un appel téléphonique, d’un SMS ou d’une notification d’application sur leur téléphone intelligent après avoir entré correctement leur mot de passe.

  • Utiliser Microsoft Defender for Cloud Apps Configurez des stratégies pour suivre une activité anormale et agir dessus. Configurez des alertes avec Microsoft Defender for Cloud Apps afin que les administrateurs puissent passer en revue les activités inhabituelles ou risquées des utilisateurs, telles que le téléchargement de grandes quantités de données, plusieurs échecs de tentatives de connexion ou les connexions à partir d’adresses IP inconnues ou dangereuses.

  • Configurer la prévention de la perte de données (DLP) DLP vous permet d’identifier les données sensibles et de créer des stratégies qui permettent d’empêcher vos utilisateurs de partager accidentellement ou intentionnellement les données. DLP fonctionne dans Microsoft 365, y compris dans Exchange Online, SharePoint Online et OneDrive afin que vos utilisateurs puissent rester conformes sans interrompre leur flux de travail.

  • Utiliser Customer Lockbox En tant qu’administrateur Microsoft 365, vous pouvez utiliser Customer Lockbox pour contrôler la façon dont un ingénieur du support technique Microsoft accède à vos données pendant une assistance. Dans le cas où l'ingénieur requiert l'accès à vos données pour résoudre un problème, le référentiel sécurisé vous permet d'approuver ou de rejeter la demande d'accès.

  • Utiliser le score de sécurité Office 365 Un outil d’analyse de la sécurité qui recommande les actions à effectuer pour réduire davantage les risques. Le score de sécurité examine vos paramètres et activités Microsoft 365 et les compare à une base de référence établie par Microsoft. Vous obtenez un score en fonction de votre alignement sur les meilleures pratiques de sécurité.

Une approche holistique de la sécurité renforcée doit prendre en compte les éléments suivants :

  • Mettre l’accent sur la sécurité des points de terminaison plutôt que sur la sécurité du périmètre, en appliquant des fonctionnalités de sécurité client basées sur le cloud et Office.
    • Réduire le périmètre de sécurité au centre de données
    • Autoriser de la même manière les appareils des utilisateurs à l’intérieur du bureau ou sur des sites distants
    • Se concentrer sur la sécurisation de l’emplacement des données et de l’utilisateur
    • Les machines utilisateur gérées bénéficient d’une plus grande confiance avec la sécurité des poins de terminaison
  • Gérer la sécurité de toutes les informations de manière globale, sans se concentrer uniquement sur le périmètre
    • Redéfinir le WAN et renforcer la sécurité du réseau de périmètre en permettant au trafic approuvé de contourner les périphériques de sécurité et en séparant les périphériques non gérés vers les réseaux Wi-Fi invités
    • Réduire les exigences de sécurité réseau du périmètre WAN de l’entreprise
    • Certains appareils de sécurité du périmètre du réseau, tels que les pare-feu, sont toujours nécessaires, mais la charge est réduite
    • Assurer la sortie locale du trafic Microsoft 365
  • Les améliorations peuvent être traitées de manière incrémentielle, comme décrit dans la section Optimisation incrémentale. Certaines techniques d’optimisation peuvent offrir de meilleurs ratios coûts/avantages en fonction de votre architecture réseau, et vous devez choisir les optimisations les plus pertinentes pour votre organization.

Pour plus d’informations sur la sécurité et la conformité Microsoft 365, consultez les articles Sécurité Microsoft 365 et Microsoft Purview.

Optimisation incrémentielle

Nous avons représenté le modèle de connectivité réseau idéal pour SaaS plus haut dans cet article, mais pour de nombreuses grandes organisations avec des architectures réseau historiquement complexes, il n’est pas pratique d’effectuer directement toutes ces modifications. Dans cette section, nous abordons de nombreuses modifications incrémentielles qui peuvent aider à améliorer les performances et la fiabilité de Microsoft 365.

Les méthodes que vous utiliserez pour optimiser le trafic Microsoft 365 varient en fonction de la topologie de votre réseau et des périphériques réseau que vous avez implémentés. Les grandes entreprises avec de nombreux emplacements et des pratiques de sécurité réseau complexes doivent développer une stratégie qui inclut la plupart ou la totalité des principes répertoriés dans la section Principes de connectivité de Microsoft 365 , tandis que les petites organisations n’ont peut-être besoin d’en envisager qu’un ou deux.

Vous pouvez aborder l’optimisation comme un processus incrémentiel, appliquant chaque méthode successivement. Le tableau suivant répertorie les méthodes d’optimisation clés par ordre d’impact sur la latence et la fiabilité pour le plus grand nombre d’utilisateurs.

Méthode d’optimisation Description Impact
Résolution DNS locale et sortie Internet
Provisionnez des serveurs DNS locaux dans chaque emplacement et assurez-vous que les connexions Microsoft 365 sortent vers Internet aussi près que possible de l’emplacement de l’utilisateur.
Réduire la latence
Améliorer la connectivité fiable avec le point d’entrée Microsoft 365 le plus proche
Ajouter des points de sortie régionaux
Si votre réseau d’entreprise a plusieurs emplacements mais un seul point de sortie, ajoutez des points de sortie régionaux pour permettre aux utilisateurs de se connecter au point d’entrée Microsoft 365 le plus proche.
Réduire la latence
Améliorer la connectivité fiable avec le point d’entrée Microsoft 365 le plus proche
Contourner les proxys et les dispositifs d’inspection
Configurer les navigateurs avec des fichiers PAC qui envoient des requêtes Microsoft 365 directement aux points de sortie.
Configurer les routeurs de périphérie et les pare-feu pour autoriser le trafic Microsoft 365 sans inspection.
Réduire la latence
Réduire la charge sur les périphériques réseau
Activer la connexion directe pour les utilisateurs VPN
Pour les utilisateurs VPN, activez les connexions Microsoft 365 pour se connecter directement à partir du réseau de l’utilisateur plutôt que via le tunnel VPN en implémentant la segmentation de tunnel.
Réduire la latence
Améliorer la connectivité fiable avec le point d’entrée Microsoft 365 le plus proche
Effectuer une migration du WAN traditionnel vers le SD-WAN
Les SD-WAN (Software Defined Wide Area Networks) simplifient la gestion WAN et améliorent les performances en remplaçant les routeurs WAN traditionnels par des appliances virtuelles, comme la virtualisation des ressources de calcul à l’aide de machines virtuelles.
Améliorer les performances et la facilité de gestion du trafic WAN
Réduire la charge sur les périphériques réseau

Vue d’ensemble de la connectivité réseau Microsoft 365

Gestion des points de terminaison Office 365

URL et plages d’adresses IP Office 365

Service web URL et adresses IP Office 365

Évaluation de la connectivité réseau Microsoft 365

Planification réseau et optimisation des performances pour Microsoft 365

Réglage des performances Office 365 à l’aide du planning de référence et de l’historique des performances

Plan de résolution des problèmes de performances pour Office 365

Réseaux de distribution de contenu

Test de connectivité Microsoft 365

Comment Microsoft construit son réseau mondial rapide et fiable

Blog sur la mise en réseau Office 365