Speciális szempontok a Stream- és Teams-eseményekhez VPN-környezetekben

Cikk
10/12/2023

Megjegyzés:

Ez a cikk a Microsoft 365 távoli felhasználók számára történő optimalizálását ismertető cikksorozat része.

A Vpn split tunneling használatának áttekintése a Microsoft 365 távoli felhasználók számára való kapcsolatának optimalizálásához : Áttekintés: VPN osztott bújtatása a Microsoft 365-höz.
A VPN osztott bújtatásának implementálásával kapcsolatos részletes útmutatásért lásd: Vpn split tunneling implementing for Microsoft 365 (A VPN felosztásos bújtatásának implementálása a Microsoft 365-ben).
A VPN osztott bújtatási forgatókönyveinek részletes listáját lásd: Gyakori VPN-osztási bújtatási forgatókönyvek a Microsoft 365-höz.
A Teams-médiaforgalom VPN-elosztási bújtatási környezetekben való biztonságossá tételével kapcsolatos útmutatásért lásd: A Teams médiaforgalmának védelme VPN-osztásos bújtatáshoz.
További információ a Microsoft 365 globális bérlői teljesítményének optimalizálásáról a kínai felhasználók számára: Microsoft 365 teljesítményoptimalizálás kínai felhasználók számára.

A Microsoft 365 Élő események résztvevőinek forgalma (ide tartoznak a Teams által létrehozott élő események résztvevői, valamint a Teamsen, Streamen vagy Viva Engage keresztül külső kódolóval előállítottak), a Microsoft Teams városháza résztvevőinek forgalma és az igény szerinti Stream-résztvevők forgalma jelenleg a Szolgáltatás URL-/IP-címlistájábanaz Alapértelmezett és az Optimalizálás kategóriába van sorolva. Ezek a végpontok alapértelmezettként vannak kategorizálva, mert olyan CDN-eken vannak tárolva, amelyeket más szolgáltatások is használhatnak. Az ügyfelek általában szívesebben proxyznak ilyen típusú forgalmat, és az ilyen végpontokon általában végrehajtott biztonsági elemeket alkalmazzák.

Számos ügyfél kért URL-/IP-adatokat, amelyek ahhoz szükségesek, hogy a résztvevők közvetlenül a helyi internetkapcsolatról csatlakozzanak a Stream- vagy Teams-eseményekhez, ahelyett, hogy a vpn-infrastruktúrán keresztül irányítanák a nagy mennyiségű és késésre érzékeny forgalmat. Ez általában nem lehetséges mind a dedikált névterek, mind a végpontok pontos IP-információi nélkül, amelyek nincsenek megadva az Alapértelmezett kategóriába sorolt Microsoft 365-végpontokhoz.

Az alábbi lépésekkel engedélyezheti a Stream- vagy Teams-eseményszolgáltatások közvetlen kapcsolatát az ügyfelekről kényszerített bújtatású VPN használatával. Ez a megoldás lehetővé szeretné tenni az ügyfelek számára, hogy elkerüljék az események résztvevőinek forgalmát VPN-en keresztül, miközben az otthoni munkavégzés miatt nagy a hálózati forgalom. Ha lehetséges, javasoljuk, hogy egy vizsgálati proxyn keresztül férhessen hozzá a szolgáltatáshoz.

Megjegyzés:

Ezzel a megoldással előfordulhatnak olyan szolgáltatáselemek, amelyek nem oldják fel a megadott IP-címeket, és így bejárást végeznek a VPN-en, de a nagy mennyiségű forgalomnak, például a streamelési adatoknak kell lennie. Előfordulhat, hogy az élő események/stream hatókörén kívül más elemek is megjelennek, amelyeket ez a kiszervezés elkap, de ezeket korlátozni kell, mivel a közvetlen szervezés előtt meg kell felelniük az FQDN-nek és az IP-címnek is.

Fontos

Javasoljuk, hogy mérje fel annak kockázatát, hogy több forgalmat küldjön, amely megkerüli a VPN-t az élő események teljesítménynövekedésén.

A Teams-események és a Stream kényszerített bújtatási kivételének implementálásához a következő lépéseket kell végrehajtani:

1. Külső DNS-feloldás konfigurálása

Az ügyfeleknek külső, rekurzív DNS-feloldásra van szükségük ahhoz, hogy az alábbi gazdagépnevek IP-címekre legyenek feloldva.

*.azureedge.net
*.media.azure.net
*.bmc.cdn.office.net
*.ml.cdn.office.net

A *.azureedge.net streames eseményekhez használatos (Kódolók konfigurálása élő streameléshez Microsoft Stream – Microsoft Stream | Microsoft Docs).

A *.media.azure.net és a *.bmc.cdn.office.net a Teams-ügyfélről ütemezett, Teams által létrehozott élő eseményekhez (gyorsindítási eseményekhez és RTMP-In támogatott eseményekhez) használatosak.

A *.media.azure.net, a *.bmc.cdn.office.net és a *.ml.cdn.office.net a Teams városháza eseményeihez használatosak.

Ezen végpontok némelyike a Stream- vagy Teams-eseményeken kívül más elemekkel is meg van osztva. Nem javasoljuk, hogy ezeket az FQDN-eket használja a VPN-kiszervezés konfigurálásához még akkor sem, ha a VPN-megoldás technikailag lehetséges (például ha az IP-cím helyett az FQDN-en működik).

A TELJES TARTOMÁNYNEVEK nem szükségesek a VPN-konfigurációban, kizárólag PAC-fájlokban való használatra használhatók, az IP-címekkel együtt a megfelelő forgalom közvetlen küldésére.

2. PAC-fájlmódosítások implementálása (ha szükséges)

Azoknak a szervezeteknek, amelyek PAC-fájlt használnak a forgalom proxyn keresztüli irányításához VPN-en keresztül, ez általában teljes tartománynevek használatával érhető el. A Stream/Live Events/Town hall esetében azonban a megadott gazdagépnevek helyettesítő karaktereket (például *.azureedge.net) tartalmaznak, amelyek olyan egyéb elemeket is magukban foglalnak, amelyekhez nem lehet teljes IP-címlistákat biztosítani. Így ha a kérést csak a DNS helyettesítő karakteres egyezése alapján küldi el, a végpontokra irányuló forgalom le lesz tiltva, mivel a cikk 3. lépésében nem található útvonal a közvetlen útvonalon keresztül.

Ennek megoldásához megadhatja a következő IP-címeket, és használhatja őket az 1. lépésben leírt példa PAC-fájl gazdagépneveivel együtt. A PAC-fájl ellenőrzi, hogy az URL-cím megegyezik-e a Stream/Live Events/Town hall url-címével, és ha igen, akkor azt is ellenőrzi, hogy a DNS-keresésből visszaadott IP-cím megegyezik-e a szolgáltatáshoz megadott IP-címmel. Ha mindkettő egyezik, akkor a rendszer közvetlenül irányítja a forgalmat. Ha bármelyik elem (FQDN/IP) nem egyezik, a rendszer elküldi a forgalmat a proxynak. Ennek eredményeképpen a konfiguráció biztosítja, hogy minden, az IP-cím és a definiált névterek hatókörén kívüli IP-címre feloldott adatok a szokásos módon áthaladjanak a proxyn keresztül a VPN-en keresztül.

A CDN-végpontok aktuális listáinak összegyűjtése

A Teams-események több CDN-szolgáltatót használnak az ügyfelek felé történő streameléshez, hogy a lehető legjobb lefedettséget, minőséget és rugalmasságot biztosíthassák. Jelenleg mind a Microsofttól, mind a Verizontól származó Azure CDN-t használjuk. Idővel ez megváltozhat olyan helyzetek miatt, mint például a regionális rendelkezésre állás. Ez a cikk olyan forrás, amely lehetővé teszi az IP-tartományok naprakészen tartását.

A MicrosoftTól származó Azure CDN esetén a listát az Azure IP-címtartományok és szolgáltatáscímkék letöltése – nyilvános felhő a Hivatalos Microsoft letöltőközpontból – című cikkből töltheti le, és kifejezetten az AzureFrontdoor.Frontend szolgáltatáscímkét kell keresnie a JSON-ban; Az addressPrefixes az IPv4/IPv6 alhálózatokat jeleníti meg. Idővel az IP-címek változhatnak, de a szolgáltatáscímkék listája mindig frissül, mielőtt használatba kerülnének.

A Verizonból (Edgecast) származó Azure CDN-hez teljes listát találhat az Edge-csomópontok – Lista (válassza a Kipróbálás lehetőséget) használatával – kifejezetten a Premium_Verizon szakaszt kell keresnie. Vegye figyelembe, hogy ez az API az összes Edgecast IP-címet (origin és Anycast) megjeleníti. Az API jelenleg nem tud különbséget tenni a forrás és az Anycast között.

Ha ezt egy PAC-fájlban szeretné megvalósítani, használhatja az alábbi példát, amely elküldi a Microsoft 365 Optimize traffic direct (ajánlott eljárás) szolgáltatását az FQDN-en keresztül, valamint a kritikus stream/élő események közvetlen forgalmát a teljes tartománynév és a visszaadott IP-cím kombinációján keresztül. A Contoso helyőrző nevét az adott bérlő nevére kell szerkeszteni, ahol a contoso az contoso.onmicrosoft.com

Példa PAC-fájlra

Íme egy példa a PAC-fájlok létrehozására:

Mentse az alábbi szkriptet a helyi merevlemezre Get-TLEPacFile.ps1néven.
Nyissa meg a Verizon URL-címét , és töltse le az eredményül kapott JSON-t (másolja be egy fájlba, például cdnedgenodes.json)
Helyezze a fájlt ugyanabba a mappába, mint a szkript.
Egy PowerShell-ablakban futtassa a következő parancsot. Ha az SPO URL-címeit szeretné használni, módosítsa a bérlő nevét. Ez a 2. típus, ezért az Optimalizálás és az Engedélyezés (az 1. típus csak optimalizálás).
```
.\Get-TLEPacFile.ps1 -Instance Worldwide -Type 2 -TenantName <contoso> -CdnEdgeNodesFilePath .\cdnedgenodes.json -FilePath TLE.pac
```
A TLE.pac fájl tartalmazza az összes névteret és IP-címet (IPv4/IPv6).

Get-TLEPacFile.ps1

# Copyright (c) Microsoft Corporation. All rights reserved.
# Licensed under the MIT License.

<#PSScriptInfo

.VERSION 1.0.5

.AUTHOR Microsoft Corporation

.GUID 7f692977-e76c-4582-97d5-9989850a2529

.COMPANYNAME Microsoft

.COPYRIGHT
Copyright (c) Microsoft Corporation. All rights reserved.
Licensed under the MIT License.

.TAGS PAC Microsoft Microsoft365 365

.LICENSEURI

.PROJECTURI http://aka.ms/ipurlws

.ICONURI

.EXTERNALMODULEDEPENDENCIES

.REQUIREDSCRIPTS

.EXTERNALSCRIPTDEPENDENCIES

.RELEASENOTES

#>

<#

.SYNOPSIS

Create a PAC file for Microsoft 365 prioritized connectivity

.DESCRIPTION

This script will access updated information to create a PAC file to prioritize Microsoft 365 Urls for
better access to the service. This script will allow you to create different types of files depending
on how traffic needs to be prioritized.

.PARAMETER Instance

The service instance inside Microsoft 365.

.PARAMETER ClientRequestId

The client request id to connect to the web service to query up to date Urls.

.PARAMETER DirectProxySettings

The direct proxy settings for priority traffic.

.PARAMETER DefaultProxySettings

The default proxy settings for non priority traffic.

.PARAMETER Type

The type of prioritization to give. Valid values are 1 and 2, which are 2 different modes of operation.
Type 1 will send Optimize traffic to the direct route. Type 2 will send Optimize and Allow traffic to
the direct route.

.PARAMETER Lowercase

Flag this to include lowercase transformation into the PAC file for the host name matching.

.PARAMETER TenantName

The tenant name to replace wildcard Urls in the webservice.

.PARAMETER ServiceAreas

The service areas to filter endpoints by in the webservice.

.PARAMETER FilePath

The file to print the content to.

.EXAMPLE

Get-TLEPacFile.ps1 -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7 -DefaultProxySettings "PROXY 4.4.4.4:70" -FilePath type1.pac

.EXAMPLE

Get-TLEPacFile.ps1 -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7 -Instance China -Type 2 -DefaultProxySettings "PROXY 4.4.4.4:70" -FilePath type2.pac

.EXAMPLE

Get-TLEPacFile.ps1 -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7 -Instance WorldWide -Lowercase -TenantName tenantName -ServiceAreas Sharepoint

#>

#Requires -Version 2

[CmdletBinding(SupportsShouldProcess=$True)]
Param (
    [Parameter(Mandatory = $false)]
    [ValidateSet('Worldwide', 'Germany', 'China', 'USGovDoD', 'USGovGCCHigh')]
    [String] $Instance = "Worldwide",

    [Parameter(Mandatory = $false)]
    [ValidateNotNullOrEmpty()]
    [guid] $ClientRequestId = [Guid]::NewGuid().Guid,

    [Parameter(Mandatory = $false)]
    [ValidateNotNullOrEmpty()]
    [String] $DirectProxySettings = 'DIRECT',

    [Parameter(Mandatory = $false)]
    [ValidateNotNullOrEmpty()]
    [String] $DefaultProxySettings = 'PROXY 10.10.10.10:8080',

    [Parameter(Mandatory = $false)]
    [ValidateRange(1, 2)]
    [int] $Type = 1,

    [Parameter(Mandatory = $false)]
    [switch] $Lowercase = $false,

    [Parameter(Mandatory = $false)]
    [ValidateNotNullOrEmpty()]
    [string] $TenantName,

    [Parameter(Mandatory = $false)]
    [ValidateSet('Exchange', 'SharePoint', 'Common', 'Skype')]
    [string[]] $ServiceAreas,

    [Parameter(Mandatory = $false)]
    [ValidateNotNullOrEmpty()]
    [string] $FilePath,

    [Parameter(Mandatory = $false)]
    [ValidateNotNullOrEmpty()]
    [string] $CdnEdgeNodesFilePath
)

##################################################################################################################
### Global constants
##################################################################################################################

$baseServiceUrl = "https://endpoints.office.com/endpoints/$Instance/?ClientRequestId={$ClientRequestId}"
$directProxyVarName = "direct"
$defaultProxyVarName = "proxyServer"
$bl = "`r`n"

##################################################################################################################
### Functions to create PAC files
##################################################################################################################

function Get-PacClauses
{
    param(
        [Parameter(Mandatory = $false)]
        [string[]] $Urls,

        [Parameter(Mandatory = $true)]
        [ValidateNotNullOrEmpty()]
        [String] $ReturnVarName
    )

    if (!$Urls)
    {
        return ""
    }

    $clauses =  (($Urls | ForEach-Object { "shExpMatch(host, `"$_`")" }) -Join "$bl        || ")

@"
    if($clauses)
    {
        return $ReturnVarName;
    }
"@
}

function Get-PacString
{
    param(
        [Parameter(Mandatory = $true)]
        [ValidateNotNullOrEmpty()]
        [array[]] $MapVarUrls
    )

@"
// This PAC file will provide proxy config to Microsoft 365 services
//  using data from the public web service for all endpoints
function FindProxyForURL(url, host)
{
    var $directProxyVarName = "$DirectProxySettings";
    var $defaultProxyVarName = "$DefaultProxySettings";

$( if ($Lowercase) { "    host = host.toLowerCase();" })

$( ($MapVarUrls | ForEach-Object { Get-PACClauses -ReturnVarName $_.Item1 -Urls $_.Item2 }) -Join "$bl$bl" )

$( if (!$ServiceAreas -or $ServiceAreas.Contains('Skype')) { Get-TLEPacConfiguration })

    return $defaultProxyVarName;
}
"@ -replace "($bl){3,}","$bl$bl" # Collapse more than one blank line in the PAC file so it looks better.
}

##################################################################################################################
### Functions to get and filter endpoints
##################################################################################################################

function Get-TLEPacConfiguration {
    param ()
    $PreBlock = @"
    // Don't Proxy Teams Live Events traffic

    if(shExpMatch(host, "*.azureedge.net")
    || shExpMatch(host, "*.bmc.cdn.office.net")
    || shExpMatch(host, "*.ml.cdn.office.net")
    || shExpMatch(host, "*.media.azure.net"))
    {
        var resolved_ip = dnsResolveEx(host);

"@
    $TLESb = New-Object 'System.Text.StringBuilder'
    $TLESb.Append($PreBlock) | Out-Null

    if (![string]::IsNullOrEmpty($CdnEdgeNodesFilePath) -and (Test-Path -Path $CdnEdgeNodesFilePath)) {
        $CdnData = Get-Content -Path $CdnEdgeNodesFilePath -Raw -ErrorAction SilentlyContinue | ConvertFrom-Json | Select-Object -ExpandProperty value | 
            Where-Object { $_.name -eq 'Premium_Verizon'} | Select-Object -First 1 -ExpandProperty properties | 
            Select-Object -ExpandProperty ipAddressGroups
        $CdnData | Select-Object -ExpandProperty ipv4Addresses | ForEach-Object {
            if ($TLESb.Length -eq $PreBlock.Length) {
                $TLESb.Append("        if(") | Out-Null
            }
            else {
                $TLESb.AppendLine() | Out-Null
                $TLESb.Append("        || ") | Out-Null
            }
            $TLESb.Append("isInNetEx(resolved_ip, `"$($_.BaseIpAddress)/$($_.prefixLength)`")") | Out-Null
        }
        $CdnData | Select-Object -ExpandProperty ipv6Addresses | ForEach-Object {
            if ($TLESb.Length -eq $PreBlock.Length) {
                $TLESb.Append("        if(") | Out-Null
            }
            else {
                $TLESb.AppendLine() | Out-Null
                $TLESb.Append("        || ") | Out-Null
            }
            $TLESb.Append("isInNetEx(resolved_ip, `"$($_.BaseIpAddress)/$($_.prefixLength)`")") | Out-Null
        }
    }
    $AzureIPsUrl = Invoke-WebRequest -Uri "https://www.microsoft.com/en-us/download/confirmation.aspx?id=56519" -UseBasicParsing -ErrorAction SilentlyContinue  | 
            Select-Object -ExpandProperty Links | Select-Object -ExpandProperty href | 
            Where-Object { $_.EndsWith('.json') -and $_ -match 'ServiceTags' } | Select-Object -First 1
    if ($AzureIPsUrl) {
        Invoke-RestMethod -Uri $AzureIPsUrl -ErrorAction SilentlyContinue | Select-Object -ExpandProperty values | 
            Where-Object { $_.name -eq 'AzureFrontDoor.Frontend' } | Select-Object -First 1 -ExpandProperty properties |
            Select-Object -ExpandProperty addressPrefixes | ForEach-Object {
                if ($TLESb.Length -eq $PreBlock.Length) {
                    $TLESb.Append("        if(") | Out-Null
                }
                else {
                    $TLESb.AppendLine() | Out-Null
                    $TLESb.Append("        || ") | Out-Null
                }
                $TLESb.Append("isInNetEx(resolved_ip, `"$_`")") | Out-Null
            }
    }
    if ($TLESb.Length -gt $PreBlock.Length) {
        $TLESb.AppendLine(")") | Out-Null
        $TLESb.AppendLine("        {") | Out-Null
        $TLESb.AppendLine("            return $directProxyVarName;") | Out-Null
        $TLESb.AppendLine("        }") | Out-Null
    }
    else {
        $TLESb.AppendLine("        // no addresses found for service via script") | Out-Null
    }
    $TLESb.AppendLine("    }") | Out-Null
    return $TLESb.ToString()
}

function Get-Regex
{
    param(
        [Parameter(Mandatory = $true)]
        [ValidateNotNullOrEmpty()]
        [string] $Fqdn
    )

    return "^" + $Fqdn.Replace(".", "\.").Replace("*", ".*").Replace("?", ".?") + "$"
}

function Match-RegexList
{
    param(
        [Parameter(Mandatory = $true)]
        [ValidateNotNullOrEmpty()]
        [string] $ToMatch,

        [Parameter(Mandatory = $false)]
        [string[]] $MatchList
    )

    if (!$MatchList)
    {
        return $false
    }
    foreach ($regex in $MatchList)
    {
        if ($regex -ne $ToMatch -and $ToMatch -match (Get-Regex $regex))
        {
            return $true
        }
    }
    return $false
}

function Get-Endpoints
{
    $url = $baseServiceUrl
    if ($TenantName)
    {
        $url += "&TenantName=$TenantName"
    }
    if ($ServiceAreas)
    {
        $url += "&ServiceAreas=" + ($ServiceAreas -Join ",")
    }
    return Invoke-RestMethod -Uri $url
}

function Get-Urls
{
    param(
        [Parameter(Mandatory = $false)]
        [psobject[]] $Endpoints
    )

    if ($Endpoints)
    {
        return $Endpoints | Where-Object { $_.urls } | ForEach-Object { $_.urls } | Sort-Object -Unique
    }
    return @()
}

function Get-UrlVarTuple
{
    param(
        [Parameter(Mandatory = $true)]
        [ValidateNotNullOrEmpty()]
        [string] $VarName,

        [Parameter(Mandatory = $false)]
        [string[]] $Urls
    )
    return New-Object 'Tuple[string,string[]]'($VarName, $Urls)
}

function Get-MapVarUrls
{
    Write-Verbose "Retrieving all endpoints for instance $Instance from web service."
    $Endpoints = Get-Endpoints

    if ($Type -eq 1)
    {
        $directUrls = Get-Urls ($Endpoints | Where-Object { $_.category -eq "Optimize" })
        $nonDirectPriorityUrls = Get-Urls ($Endpoints | Where-Object { $_.category -ne "Optimize" }) | Where-Object { Match-RegexList $_ $directUrls }
        return @(
            Get-UrlVarTuple -VarName $defaultProxyVarName -Urls $nonDirectPriorityUrls
            Get-UrlVarTuple -VarName $directProxyVarName -Urls $directUrls
        )
    }
    elseif ($Type -eq 2)
    {
        $directUrls = Get-Urls ($Endpoints | Where-Object { $_.category -in @("Optimize", "Allow")})
        $nonDirectPriorityUrls = Get-Urls ($Endpoints | Where-Object { $_.category -notin @("Optimize", "Allow") }) | Where-Object { Match-RegexList $_ $directUrls }
        return @(
            Get-UrlVarTuple -VarName $defaultProxyVarName -Urls $nonDirectPriorityUrls
            Get-UrlVarTuple -VarName $directProxyVarName -Urls $directUrls
        )
    }
}

##################################################################################################################
### Main script
##################################################################################################################

$content = Get-PacString (Get-MapVarUrls)

if ($FilePath)
{
    $content | Out-File -FilePath $FilePath -Encoding ascii
}
else
{
    $content
}

A szkript automatikusan elemzi az Azure-listát az AzureFrontDoor.Frontendletöltési URL-címe és kulcsai alapján, így ezt nem kell manuálisan beszereznie.

Ismét nem javasoljuk, hogy a VPN-kiszervezést csak a teljes tartománynevek használatával végezze el; Ha a függvényben a teljes tartományneveket és az IP-címeket is felhasználja, a kiszervezést korlátozott végpontokra, például élő eseményekre/streamekre szűkíti. A függvény strukturálásának módja azt eredményezi, hogy a teljes tartománynév dns-keresése közvetlenül megegyezik az ügyfél által felsoroltakkal, azaz a fennmaradó névterek DNS-feloldása változatlan marad.

Ha korlátozni szeretné a Teams-eseményekhez és a Streamhez nem kapcsolódó végpontok kiszervezésének kockázatát, eltávolíthatja a *.azureedge.net tartományt abból a konfigurációból, ahol a kockázat nagy része az Azure CDN-ügyfelek számára használt megosztott tartomány. Ennek hátránya, hogy a Stream által működtetett külső kódolót használó események nem lesznek optimalizálva, de a Teamsben létrehozott/szervezett események lesznek.

3. Útválasztás konfigurálása a VPN-en a közvetlen kimenő forgalom engedélyezéséhez

Az utolsó lépés egy közvetlen útvonal hozzáadása a CdN-végpontok aktuális listáinak összegyűjtése a VPN-konfigurációba című szakaszban leírt Teams-esemény IP-címekhez, hogy a forgalom ne a kényszerített alagúton keresztül legyen elküldve a VPN-be. Ennek a Microsoft 365 Optimalizálási végpontok esetében való végrehajtásáról a VPN-alapú osztott bújtatás implementálása a Microsoft 365-ben című szakasz VPN-felosztásos bújtatásának megvalósítása című szakaszában talál részletes információt. A folyamat pontosan ugyanaz a folyamat a dokumentumban felsorolt Stream- vagy Teams-események IP-címei esetében.

Vegye figyelembe, hogy a VPN-konfigurációhoz csak a CDN-végpontok aktuális listáinak összegyűjtéséből származó IP-címek (nem teljes tartománynevek) használhatók.

GYIK

Ez az összes forgalmat közvetlenül a szolgáltatásba küldi?

Nem, ez közvetlenül küldi el egy Teams-esemény vagy Stream-videó késésre érzékeny streamelési forgalmát, minden más forgalom továbbra is a VPN-alagutat fogja használni, ha nem oldják fel a közzétett IP-címeket.

Használnom kell az IPv6-címeket?

Nem, a kapcsolat csak akkor lehet IPv4, ha szükséges.

Miért nem teszik közzé ezeket az IP-címeket a Microsoft 365 URL/IP szolgáltatásban?

A Microsoft szigorúan szabályozza a szolgáltatásban található információk formátumát és típusát, hogy az ügyfelek megbízhatóan használhassák az információkat a biztonságos és optimális útválasztás végpontkategórián alapuló implementálásához.

Az Alapértelmezett végpont kategória számos okból nem tartalmaz IP-információt (előfordulhat, hogy az alapértelmezett végpontok kívül vannak a Microsoft vezérlésén, túl gyakran változnak, vagy más elemekkel megosztott blokkokban vannak). Ezért az alapértelmezett végpontok úgy vannak kialakítva, hogy az FQDN-en keresztül egy vizsgálandó proxynak, például a normál webes forgalomnak legyenek elküldve.

Ebben az esetben a fenti végpontok olyan CDN-ek, amelyeket nem a Microsoft által vezérelt elemek használhatnak, kivéve az élő eseményeket vagy a streamet, így a közvetlen forgalom küldése azt is jelenti, hogy minden más, ezen IP-címre feloldott megoldás is közvetlenül az ügyféltől lesz elküldve. A jelenlegi globális válság egyedi jellegéből és az ügyfeleink rövid távú igényeinek kielégítéséből adódóan a Microsoft a fenti információkat adta meg az ügyfelek számára, hogy a számukra megfelelő módon használják őket.

A Microsoft azon dolgozik, hogy újrakonfigurálja a Teams-eseményvégpontokat, hogy a jövőben szerepelhessenek az Engedélyezés/Optimalizálás végpontkategóriákban.

Csak ezekhez az IP-címekhez kell hozzáférést engedélyeznem?

Nem, a szolgáltatás működéséhez elengedhetetlen az URL-/IP-szolgáltatásban található összes kötelező megjelölt végpont elérése. Emellett a Streamhez (41-45-ös azonosító) jelölt választható végpontok is szükségesek.

Milyen forgatókönyvekre vonatkozik ez a tanács?

A Teams alkalmazásban létrehozott élő események
Stream által üzemeltetett tartalom megtekintése
Külső eszköz (kódoló) által létrehozott események
Teams városháza

Ez a tanács vonatkozik az előadói forgalomra?

Nem így van; a fenti tanács kizárólag a szolgáltatást használók számára készült. A Teamsen belüli előadás során az előadó forgalma a 11. URL-/IP-szolgáltatássorban felsorolt Optimalizált UDP-végpontok felé áramlik, és részletes VPN-kiszervezési tanácsokat talál a VPN-felosztásos bújtatás implementálásának a Microsoft 365-höz című szakaszában.

Ez a konfiguráció nem a Városháza, az Élő események & Stream közvetlen küldését kockáztatja?

Igen, a szolgáltatás egyes elemeihez használt megosztott teljes tartománynevek miatt ez elkerülhetetlen. Ezt a forgalmat általában egy olyan vállalati proxyn keresztül küldi el a rendszer, amely vizsgálatot alkalmazhat. A VPN osztott alagút forgatókönyvében az FQDN-ek és IP-címek használata minimálisra fogja korlátozni ezt a kockázatot, de továbbra is fennáll. Az ügyfelek eltávolíthatják a *.azureedge.net tartományt a kiszervezési konfigurációból, és minimálisra csökkenthetik ezt a kockázatot, de ez eltávolítja a Stream által támogatott élő események (Teams-ütemezett, Stream-kódoló események, a Teamsben létrehozott Viva Engage események, Viva Engage ütemezett Stream-kódoló események és Stream által ütemezett események vagy igény szerinti megtekintés a Streamből) kiszervezését. A Teamsben (beleértve a városházát is) ütemezett és létrehozott eseményekre nincs hatással.

Áttekintés: VPN osztott bújtatása a Microsoft 365-höz

VPN osztott bújtatásának implementálása a Microsoft 365-höz

Gyakori VPN-osztási bújtatási forgatókönyvek a Microsoft 365-höz

A Teams médiaforgalmának biztonságossá tétele a VPN osztott bújtatásához

A Microsoft 365 teljesítményoptimalizálása Kínai felhasználók számára

A Microsoft 365 hálózati kapcsolati alapelvei

A Microsoft 365 hálózati adatkapcsolat felmérése

A Microsoft 365 hálózat- és teljesítményhangolása

Alternatív módszerek a biztonsági szakemberek és az informatikai szakemberek számára a modern biztonsági vezérlők elérésére napjaink egyedi távoli munkavégzési forgatókönyveiben (Microsoft biztonsági csapat blogja)

A VPN teljesítményének növelése a Microsoftnál: Windows 10 VPN-profilok használata az automatikus csatlakozás engedélyezéséhez

Futtatás VPN-en: Hogyan tartja a Microsoft a távoli munkaerőt kapcsolatban

Microsoft globális hálózat