A Teams médiaforgalmának biztonságossá tétele a VPN osztott bújtatásához
Megjegyzés:
Ez a cikk a Microsoft 365 távoli felhasználók számára történő optimalizálását ismertető cikksorozat része.
- A Vpn split tunneling használatának áttekintése a Microsoft 365 távoli felhasználók számára való kapcsolatának optimalizálásához : Áttekintés: VPN osztott bújtatása a Microsoft 365-höz.
- A VPN osztott bújtatásának implementálásával kapcsolatos részletes útmutatásért lásd: Vpn split tunneling implementing for Microsoft 365 (A VPN felosztásos bújtatásának implementálása a Microsoft 365-ben).
- A VPN osztott bújtatási forgatókönyveinek részletes listáját lásd: Gyakori VPN-osztási bújtatási forgatókönyvek a Microsoft 365-höz.
- A Stream és az élő események VPN-környezetekben való konfigurálásával kapcsolatos információkért lásd: Speciális szempontok a Stream és az élő események VPN-környezetekben való használatához.
- További információ a Microsoft 365 globális bérlői teljesítményének optimalizálásáról a kínai felhasználók számára: Microsoft 365 teljesítményoptimalizálás kínai felhasználók számára.
Egyes Microsoft Teams-rendszergazdák részletes információkat igényelhetnek arról, hogyan működnek a hívási folyamatok a Teamsben osztott bújtatási modellel, és hogyan biztosíthatók a kapcsolatok.
Konfiguráció
Mind a hívások, mind az értekezletek esetében, amennyiben a Szükséges IP-alhálózatok optimalizálása Teams médiatartalmakhoz megfelelő helyen van az útvonaltáblában, amikor a Teams meghívja a GetBestRoute függvényt annak meghatározására, hogy melyik helyi felület felel meg az adott célhoz használni kívánt útvonalnak, a rendszer a fenti Microsoft IP-blokkokban visszaadja a microsoftos célhelyek helyi felületét.
Egyes VPN-ügyfélszoftverek url-cím alapján teszik lehetővé az útválasztási manipulációt. A Teams médiaforgalmához azonban nincs URL-cím társítva, ezért a forgalom útválasztásának szabályozását IP-alhálózatok használatával kell elvégezni.
Bizonyos forgatókönyvekben, amelyek gyakran nem kapcsolódnak a Teams ügyfélkonfigurációhoz, a médiaforgalom még a megfelelő útvonalakkal is áthalad a VPN-alagúton. Ha ezt a forgatókönyvet tapasztalja, elegendő tűzfalszabályt használni a Teams IP-alhálózatainak vagy portjainak a VPN-ből való letiltásához.
Fontos
Annak érdekében, hogy a Teams médiaforgalma a kívánt módszerrel legyen irányítva minden VPN-forgatókönyvben, győződjön meg arról, hogy a felhasználók a Microsoft Teams 1.3.00.13565-ös vagy újabb verzióját futtatják. Ez a verzió a rendelkezésre álló hálózati útvonalak ügyfél általi észlelésének továbbfejlesztéseit tartalmazza.
A jelátviteli forgalom HTTPS-en keresztül történik, és nem olyan késésre érzékeny, mint a médiaforgalom, és engedélyezésként van megjelölve az URL-/IP-adatokban, így szükség esetén biztonságosan átirányítható a VPN-ügyfélen.
Megjegyzés:
A Microsoft Edge 96-os vagy újabb verziója támogatja a VPN osztott bújtatását a társközi forgalomhoz. Ez azt jelenti, hogy az ügyfelek kihasználhatják például a Teams webes ügyfelek vpn-osztásos bújtatásának előnyeit az Edge-en. Az Edge-en futó webhelyekhez beállítani kívánt ügyfelek ezt úgy érhetik el, hogy letiltják az Edge WebRtcRespectOsRoutingTableEnabled szabályzatot.
Biztonság
Az osztott alagutak elkerülésének egyik gyakori érve az, hogy ez kevésbé biztonságos, azaz a VPN-alagúton át nem áthaladó forgalom nem fogja kihasználni a VPN-alagútra alkalmazott titkosítási sémát, ezért kevésbé biztonságos.
Ennek fő ellenérve az, hogy a médiaforgalom már titkosítva van a Secure Real-Time Transport Protocol (SRTP) protokollon keresztül, amely a Real-Time Transport Protocol (RTP) profilja, amely titkosítást, hitelesítést és visszajátszási támadásvédelmet biztosít az RTP-forgalom számára. Maga az SRTP egy véletlenszerűen generált munkamenetkulcsra támaszkodik, amelyet a TLS által védett jeladó csatornán keresztül cserél le. Ezt a biztonsági útmutató részletesen ismerteti, de az elsődleges terület a médiatitkosítás.
A médiaforgalom titkosítása SRTP használatával történik, amely egy biztonságos véletlenszám-generátor által generált munkamenetkulcsot használ, amelyet a jeladó TLS-csatornán keresztül cserél le. Emellett a közvetítési kiszolgáló és a belső következő ugrás között mindkét irányban áramló média szintén SRTP-vel van titkosítva.
Skype Vállalati verzió Online felhasználóneveket/jelszavakat hoz létre a médiatovábbítókhoz való biztonságos hozzáféréshez a bejáráson keresztül Továbbítások használatával a NAT körül (TURN) használatával. A médiatovábbítók egy TLS által védett SIP-csatornán keresztül cserélik le a felhasználónevet/jelszót. Érdemes megjegyezni, hogy annak ellenére, hogy egy VPN-alagút használható az ügyfél vállalati hálózathoz való csatlakoztatásához, a forgalomnak továbbra is az SRTP formájában kell haladnia, amikor elhagyja a vállalati hálózatot a szolgáltatás eléréséhez.
Az 5.1 Biztonsági szempontok implementálók számára című cikkből megtudhatja, hogyan enyhíti a Teams az olyan gyakori biztonsági problémákat, mint a hang- vagy munkamenet-bejárási segédprogramok a NAT -hoz (STUN).
A modern biztonsági vezérlőkről távoli munkavégzési forgatókönyvekben is olvashat: Alternatív módszerek biztonsági szakembereknek és informatikai szakembereknek a modern biztonsági vezérlők elérésére a mai egyedi távoli munkavégzési forgatókönyvekben (Microsoft biztonsági csapat blogja).
Vizsgálat
A szabályzat életbe lépése után győződjön meg arról, hogy a szabályzat a várt módon működik. Az elérési út többféleképpen is tesztelve van a helyi internetkapcsolat használatára:
Futtassa a Microsoft 365 kapcsolati tesztet , amely a fenti módon futtatja a kapcsolati teszteket, beleértve a nyomkövetési útvonalakat is. A VPN-teszteket is hozzáadjuk ehhez az eszközkészlethez, amely további elemzéseket is biztosít.
A felosztott alagút hatókörén belül egy végponthoz vezető egyszerű nyomkövetésnek meg kell jelennie a megtett útvonalnak, például:
tracert worldaz.tr.teams.microsoft.comEzután meg kell jelennie egy elérési útnak a végpont helyi ispéntén keresztül, amely a megosztott bújtatáshoz konfigurált Teams-tartományok egyik IP-címére lesz feloldva.
Készítsen hálózati rögzítést egy olyan eszközzel, mint a Wireshark. Szűrjön az UDP-re hívás közben, és látnia kell, hogy a forgalom egy IP-címre áramlik a Teams optimalizálási tartományában. Ha a VPN-alagutat használja ehhez a forgalomhoz, akkor a médiaforgalom nem lesz látható a nyomkövetésben.
További támogatási naplók
Ha további adatokra van szüksége a hibaelhárításhoz, vagy segítséget kér a Microsoft ügyfélszolgálatától, az alábbi információk birtokában gyorsíthatja a megoldás megtalálását. A Microsoft ügyfélszolgálatának TSS Windows CMD-alapú univerzális TroubleShooting Script eszközkészlete segíthet a vonatkozó naplók egyszerű összegyűjtésében. Az eszköz és a használati utasítások a következő helyen találhatók: https://aka.ms/TssTools.
Kapcsolódó cikkek
Áttekintés: VPN osztott bújtatása a Microsoft 365-höz
VPN osztott bújtatásának implementálása a Microsoft 365-höz
Gyakori VPN-osztási bújtatási forgatókönyvek a Microsoft 365-höz
A STREAM és az élő események speciális szempontjai VPN-környezetekben
A Microsoft 365 teljesítményoptimalizálása Kínai felhasználók számára
A Microsoft 365 hálózati kapcsolati alapelvei
A Microsoft 365 hálózati adatkapcsolat felmérése
A Microsoft 365 hálózat- és teljesítményhangolása
Futtatás VPN-en: Hogyan tartja a Microsoft a távoli munkaerőt kapcsolatban
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: