Étape 2. Mise en réseau optimale pour vos locataires Microsoft 365 pour entreprise

Microsoft 365 pour entreprise inclut des applications de productivité cloud telles que Teams et Exchange Online, ainsi que des Microsoft Intune, ainsi que de nombreux services d’identité et de sécurité de Microsoft Azure. Tous ces services basés sur le cloud s’appuient sur la sécurité, les performances et la fiabilité des connexions des appareils clients sur votre réseau local ou n’importe quel emplacement sur Internet.

Pour optimiser l’accès réseau pour votre locataire, vous devez :

• Optimisez le chemin entre vos utilisateurs locaux et l’emplacement le plus proche du réseau global Microsoft.
• Optimisez l’accès au réseau global Microsoft pour vos utilisateurs distants qui utilisent une solution VPN d’accès à distance.
• Utilisez Network Insights pour concevoir le périmètre réseau de vos bureaux.
• Optimisez l’accès à des ressources spécifiques hébergées sur des sites SharePoint avec le CDN Office 365.
• Configurez les périphériques proxy et réseau pour contourner le traitement du trafic approuvé Microsoft 365 avec la liste des points de terminaison et automatisez la mise à jour de la liste à mesure que des modifications sont apportées.

Employés locaux d’entreprise

Pour les réseaux d’entreprise, vous devez optimiser l’expérience de l’utilisateur final en activant l’accès réseau le plus performant entre les clients et les points de terminaison Microsoft 365 les plus proches. La qualité de l’expérience utilisateur final est directement liée aux performances et à la réactivité de l’application que l’utilisateur utilise. Par exemple, Microsoft Teams s’appuie sur une faible latence afin que les appels téléphoniques des utilisateurs, les conférences et les collaborations d’écran partagé soient exempts de problèmes.

L’objectif principal de la conception du réseau doit être de réduire la latence en réduisant le temps d’aller-retour (RTT) des appareils clients vers le Réseau global Microsoft, le réseau principal du réseau public de Microsoft qui interconnecte tous les centres de données de Microsoft avec des points d’entrée d’application cloud à faible latence et haute disponibilité, appelés portes d’entrée, répartis dans le monde entier.

Voici un exemple de réseau d’entreprise traditionnel.

Dans cette illustration, les succursales se connectent à un bureau central par le biais d’appareils de réseau étendu (WAN) et d’un réseau principal WAN. L’accès à Internet se fait par le biais d’un appareil de sécurité ou de proxy à la périphérie réseau du bureau central et d’un fournisseur de services Internet (ISP). Sur Internet, le Microsoft Global Network dispose d’une série de portes d’entrée dans des régions du monde entier. Les organisations peuvent également utiliser des emplacements intermédiaires pour le traitement des paquets et la sécurité supplémentaires pour le trafic. Le locataire Microsoft 365 d’un organization se trouve dans le réseau global Microsoft.

Les problèmes liés à cette configuration pour les services cloud Microsoft 365 sont les suivants :

• Pour les utilisateurs des succursales, le trafic est envoyé aux portes d’entrée non locales, ce qui augmente la latence.
• L’envoi de trafic vers des emplacements intermédiaires crée des épingles réseau qui effectuent le traitement des paquets en double sur le trafic approuvé, ce qui augmente la latence.
• Les périphériques réseau effectuent le traitement des paquets inutiles et dupliqués sur le trafic approuvé, ce qui augmente la latence.

L’optimisation des performances réseau de Microsoft 365 n’a pas besoin d’être compliquée. Vous pouvez obtenir les meilleures performances possibles en suivant quelques principes clés :

• Identifiez le trafic réseau Microsoft 365, qui est le trafic approuvé destiné aux services cloud Microsoft.
• Autoriser la sortie de branche locale du trafic réseau Microsoft 365 vers Internet à partir de chaque emplacement où les utilisateurs se connectent à Microsoft 365.
• Évitez les épingles de réseau.
• Autoriser le trafic Microsoft 365 à contourner les proxys et les appareils d’inspection des paquets.

Si vous implémentez ces principes, vous obtenez un réseau d’entreprise optimisé pour Microsoft 365.

Dans cette illustration, les succursales disposent de leur propre connexion Internet par le biais d’un appareil SDWAN (software-defined WAN device), qui envoie le trafic Microsoft 365 approuvé à la porte d’entrée régionalement la plus proche. Au bureau central, le trafic Microsoft 365 approuvé contourne l’appareil de sécurité ou proxy et les appareils intermédiaires ne sont plus utilisés.

Voici comment la configuration optimisée résout les problèmes de latence d’un réseau d’entreprise traditionnel :

• Le trafic Microsoft 365 approuvé ignore le réseau principal wan et est envoyé aux portes d’entrée locales pour tous les bureaux, ce qui réduit la latence.
• Les épingles réseau qui effectuent le traitement des paquets en double sont ignorées pour le trafic approuvé Microsoft 365, ce qui réduit la latence.
• Les périphériques réseau qui effectuent un traitement de paquets inutiles et dupliqués sont ignorés pour le trafic approuvé Microsoft 365, ce qui réduit la latence.

Pour plus d’informations, consultez Vue d’ensemble de la connectivité réseau Microsoft 365.

Travailleurs à distance

Si vos employés à distance utilisent un client VPN traditionnel pour obtenir l’accès à distance au réseau de votre organisation, vérifiez que le client VPN a une prise en charge de la segmentation de tunnel. Sans tunneling fractionné, tout votre trafic de travail à distance est envoyé via la connexion VPN, où il doit être transféré aux appareils périphériques de votre organization, traité, puis envoyé sur Internet. Voici un exemple.

Dans cette illustration, le trafic Microsoft 365 doit emprunter un itinéraire indirect via votre organization, qui peut être transféré à une porte d’entrée du réseau global Microsoft loin de l’emplacement physique du client VPN. Ce chemin d’accès indirect ajoute de la latence au trafic réseau et réduit les performances globales.

La segmentation de tunnel vous permet de configurer votre client VPN pour empêcher l’envoi de certains types de trafic sur la connexion VPN vers le réseau de l’organisation.

Pour optimiser l’accès aux ressources cloud de Microsoft 365, configurez vos clients VPN avec la segmentation de tunnel afin d’exclure le trafic vers la catégorie Optimiser des points de terminaison Microsoft 365 sur la connexion VPN. Pour plus d’informations, consultez Office 365 catégories de points de terminaison et les listes d’Optimiser les points de terminaison de catégorie pour le tunneling fractionné.

Voici le flux de trafic résultant pour le tunneling fractionné, dans lequel la majeure partie du trafic vers les applications cloud Microsoft 365 contourne la connexion VPN.

Dans cette illustration, le client VPN envoie et reçoit le trafic essentiel du service cloud Microsoft 365 directement sur Internet et à la porte d’entrée la plus proche dans le réseau global Microsoft.

Pour plus d’informations et de conseils, voir Optimiser la connectivité d’Office 365 pour les utilisateurs à distance à l’aide de la segmentation de tunnel de VPN.

Utilisation de Network Insights (préversion)

Network Insights sont des métriques de performances collectées auprès de votre client Microsoft 365 qui vous aident à concevoir des périmètres réseau pour vos bureaux. Chaque insight fournit des détails en direct sur les caractéristiques de performances d’un problème spécifié pour chaque emplacement géographique où les utilisateurs locaux accèdent à votre locataire.

Il existe deux insights réseau au niveau du locataire qui peuvent être affichés pour le locataire :

• Exemples de connexions Exchange impactées par des problèmes de connectivité
• Exemples de connexions SharePoint affectées par des problèmes de connectivité

Voici les insights réseau spécifiques pour chaque emplacement de bureau :

• Sortie réseau en cas de backhauled
• De meilleures performances détectées pour les clients proches de chez vous
• Utilisation d’une porte d’entrée de service Exchange Online non optimale
• Utilisation d’une porte d’entrée de service SharePoint Online non optimale
• Vitesse de téléchargement faible à partir de La porte d’entrée SharePoint
• Sortie réseau optimale de l’utilisateur en Chine

Importante

Les insights réseau, les recommandations en matière de performances et les évaluations dans le centre Administration Microsoft 365 sont actuellement en préversion status. Il est uniquement disponible pour les locataires Microsoft 365 qui ont été inscrits dans le programme de préversion des fonctionnalités.

Pour plus d’informations, consultez Microsoft 365 Network Insights.

Performances de SharePoint avec le CDN Office 365

Un réseau de distribution de contenu (CDN) basé sur le cloud vous permet de réduire les temps de chargement, d’économiser de la bande passante et de accélérer la réactivité. Un CDN améliore les performances en mettant en cache les ressources statiques telles que les fichiers graphiques ou vidéo plus proches des navigateurs qui les demandent, ce qui permet d’accélérer les téléchargements et de réduire la latence. Vous pouvez utiliser le réseau de distribution de contenu (CDN) Office 365 intégré, inclus avec SharePoint dans Microsoft 365 E3 et E5, pour héberger des ressources statiques afin de fournir de meilleures performances à vos pages SharePoint.

Le réseau de distribution de contenu Office 365 est composé de plusieurs réseaux de distribution de contenu qui vous permettent d’héberger des ressources statiques à différents emplacements (ou origines) et de les servir à partir de réseaux à haut débit mondiaux. Selon le type de contenu que vous souhaitez héberger dans le CDN Office 365, vous pouvez ajouter des origines publiques, des origines privées, ou les deux.

Une fois déployé et configuré, l’Office 365 CDN charge les ressources à partir d’origines publiques et privées et les met à disposition pour un accès rapide aux utilisateurs situés sur Internet.

Pour plus d’informations, voir Utiliser le CDN Office 365 avec SharePoint Online.

Liste automatisée des points de terminaison

Pour que vos clients locaux, appareils de périphérie et services d’analyse de paquets basés sur le cloud ignorent le traitement du trafic Microsoft 365 approuvé, vous devez les configurer avec l’ensemble des points de terminaison (plages d’adresses IP et noms DNS) correspondant aux services Microsoft 365. Ces points de terminaison peuvent être configurés manuellement dans des pare-feu et d’autres périphériques de sécurité, des fichiers PAC pour les ordinateurs clients pour contourner les proxys ou des appareils SD-WAN dans les succursales. Toutefois, les points de terminaison changent au fil du temps, ce qui nécessite une maintenance manuelle continue des listes de points de terminaison dans ces emplacements.

Pour automatiser la gestion des listes et des modifications pour les points de terminaison Microsoft 365 dans vos fichiers PAC clients et périphériques réseau, utilisez le service web REST basé sur l’adresse IP et l’URL Office 365. Ce service vous aide à mieux identifier et différencier le trafic réseau Microsoft 365, ce qui vous permet d’évaluer, de configurer et de rester informé des dernières modifications.

Vous pouvez utiliser PowerShell, Python ou d’autres langages pour déterminer les modifications apportées aux points de terminaison au fil du temps et configurer vos fichiers PAC et périphériques réseau.

Le processus de base est le suivant :

1. Utilisez le service web d’adresse IP et d’URL Office 365 et le mécanisme de configuration de votre choix pour configurer vos fichiers PAC et périphériques réseau avec l’ensemble actuel de points de terminaison Microsoft 365.
2. Exécutez un périodique quotidien pour case activée pour les modifications apportées aux points de terminaison ou utilisez une méthode de notification.
3. Lorsque des modifications sont détectées, régénérez et redistribuez le fichier PAC pour les ordinateurs clients et apportez les modifications à vos périphériques réseau.

Pour plus d’informations, consultez Office 365 service web d’adresse IP et d’URL.

Résultats de l’étape 2

Pour votre locataire Microsoft 365 avec une mise en réseau optimale, vous avez déterminé :

• Comment optimiser les performances réseau pour les utilisateurs locaux en ajoutant des connexions Internet à toutes les succursales et en éliminant les épingles réseau.
• Comment implémenter la liste automatisée des points de terminaison approuvés pour vos fichiers PAC basés sur le client et vos appareils et services réseau, y compris les mises à jour en cours (les plus adaptées aux réseaux d’entreprise).
• Comment prendre en charge l’accès des travailleurs à distance aux ressources locales.
• Comment utiliser Network Insights
• Comment déployer le CDN Office 365.

Voici un exemple d’entreprise organization et son locataire avec une mise en réseau optimale.

Dans cette illustration, le locataire de cette organization d’entreprise a :

• Accès Internet local pour chaque succursale avec un appareil SDWAN qui transfère le trafic Microsoft 365 approuvé vers une porte d’entrée locale.
• Pas d’épingles de réseau.
• Sécurité du bureau central et périphériques proxy qui transfèrent le trafic approuvé Microsoft 365 vers une porte d’entrée locale.

Maintenance continue pour une mise en réseau optimale

En continu, vous devrez peut-être :

• Mettez à jour vos appareils de périphérie et les fichiers PAC déployés pour les modifications apportées aux points de terminaison ou vérifiez que votre processus automatisé fonctionne correctement.
• Gérez vos ressources dans le CDN Office 365.
• Mettez à jour la configuration du tunneling fractionné dans vos clients VPN pour les modifications apportées aux points de terminaison.

Étape suivante

Poursuivez avec l’identité pour synchroniser vos comptes et groupes locaux et appliquer des connexions utilisateur sécurisées.