Microsoft 365-végpontok kezelése
A legtöbb nagyvállalati szervezetnek, amely több irodai hellyel és egy csatlakozó WAN-nal rendelkezik, konfigurálnia kell a Microsoft 365 hálózati kapcsolatát. A hálózat optimalizálásához küldjön minden megbízható Microsoft 365-ös hálózati kérést közvetlenül a tűzfalon keresztül, megkerülve az összes további csomagszintű ellenőrzést vagy feldolgozást. Ez csökkenti a késést és a szegélyhálózati kapacitásra vonatkozó követelményeket. A Microsoft 365 hálózati forgalmának azonosítása az első lépés a felhasználók optimális teljesítményének biztosításában. További információ: A Microsoft 365 hálózati kapcsolati alapelvei.
A Microsoft azt javasolja, hogy a Microsoft 365 hálózati végpontjait és a folyamatban lévő módosításokat a Microsoft 365 IP-cím és URL-webszolgáltatás használatával érje el.
A Microsoft 365 létfontosságú hálózati forgalmának kezelésétől függetlenül a Microsoft 365-nek internetkapcsolatra van szüksége. Az egyéb hálózati végpontok, ahol szükség van a kapcsolatra, a További végpontok, amelyek nem szerepelnek a Microsoft 365 IP-címében és URL-webszolgáltatásában, című témakörben találhatók.
A Microsoft 365 hálózati végpontok használatának menete a vállalati szervezeti hálózati architektúrától függ. Ez a cikk számos olyan módszert mutat be, amellyel a vállalati hálózati architektúrák integrálhatók a Microsoft 365 IP-címeivel és URL-címeivel. A legegyszerűbben úgy választhatja ki a megbízható hálózati kéréseket, ha az egyes irodai helyeken olyan SD-WAN-eszközöket használ, amelyek támogatják az automatikus Microsoft 365-konfigurációt.
SD-WAN a Microsoft 365 létfontosságú hálózati forgalmának helyi ági kimenő forgalmához
Minden fiókirodában megadhat egy SD-WAN-eszközt, amely úgy van konfigurálva, hogy a Microsoft 365 Optimize végpontkategória vagy az Optimalizálás és engedélyezés kategóriák forgalmát közvetlenül a Microsoft hálózatára irányítja. Az egyéb hálózati forgalom, beleértve a helyszíni adatközpont forgalmát, az általános internetes webhelyek forgalmát és a Microsoft 365 alapértelmezett kategóriavégpontjai felé érkező forgalmat egy másik helyre továbbítja, ahol a hálózat nagyobb szegélyhálózatot tartalmaz.
A Microsoft SD-WAN-szolgáltatókkal együttműködve teszi lehetővé az automatizált konfigurációt. További információ: Microsoft 365 Hálózatkezelési partnerprogram.
PAC-fájl használata a létfontosságú Microsoft 365-forgalom közvetlen útválasztásához
PAC- vagy WPAD-fájlok használatával kezelheti a Microsoft 365-höz társított, de IP-címmel nem rendelkező hálózati kérelmeket. A proxyn vagy peremeszközön keresztül küldött tipikus hálózati kérések növelik a késést. Bár a TLS-megszakítás és -vizsgálat hozza létre a legnagyobb késést, más szolgáltatások, például a proxyhitelesítés és a hírnévkeresés gyenge teljesítményt és rossz felhasználói élményt okozhatnak. Emellett ezeknek a szegélyhálózati eszközöknek elegendő kapacitásra van szükségük az összes hálózati kapcsolatkérés feldolgozásához. Javasoljuk, hogy közvetlen Microsoft 365-ös hálózati kérések esetén kerülje meg a proxy- vagy ellenőrzőeszközöket.
A Get-PacFile PowerShell-katalógus egy PowerShell-szkript , amely beolvassa a legújabb hálózati végpontokat a Microsoft 365 IP-címéről és URL-címének webszolgáltatásából, és létrehoz egy PAC-mintafájlt. Módosíthatja a szkriptet, hogy integrálható legyen a meglévő PAC-fájlkezeléssel.
Megjegyzés:
A Microsoft 365-végpontokhoz való közvetlen csatlakozás biztonsági és teljesítménybeli szempontjaival kapcsolatos további információkért lásd: Microsoft 365 Hálózati kapcsolatok alapelvei.
1. ábra – Egyszerű vállalati hálózat peremhálózata
A PAC-fájl az 1. ábrán szereplő 1. pontban van üzembe helyezve a webböngészőkben. Ha PAC-fájlt használ a Létfontosságú Microsoft 365 hálózati forgalom közvetlen kimenő forgalmához, engedélyeznie kell a hálózati peremhálózati tűzfalon az ezen URL-címek mögötti IP-címekhez való kapcsolódást is. Ez a PAC-fájlban megadott Microsoft 365-végpontkategóriák IP-címeinek beolvasásával és a címek alapján létrehozott tűzfal ACL-ek létrehozásával végezhető el. A tűzfal az 1. ábrán a 3. pont.
Ha úgy dönt, hogy csak a közvetlen útválasztást választja az Optimalizált kategóriavégpontokhoz, a proxykiszolgálónak küldött kötelező Kategóriavégpontok engedélyezése elemet fel kell sorolni a proxykiszolgálón a további feldolgozás megkerüléséhez. A TLS-törés, a Vizsgálat és a Proxyhitelesítés például nem kompatibilis az Optimalizálás és az Engedélyezés kategóriavégpontokkal. A proxykiszolgáló az 1. ábra 2. pontja.
A gyakori konfiguráció az, hogy a proxykiszolgálóról érkező összes kimenő forgalom feldolgozása nélkül engedélyezi a proxykiszolgálót elérő Microsoft 365 hálózati forgalom cél IP-címeinek feldolgozását. További információ a TLS-megszakítással és -vizsgálattal kapcsolatos problémákról: Külső hálózati eszközök vagy megoldások használata a Microsoft 365-forgalomon.
A Get-PacFile szkript kétféle PAC-fájlt hoz létre.
Típus | Leírás |
---|---|
1 |
Küldje el a közvetlen optimalizált végpontforgalmat és minden mást a proxykiszolgálónak. |
2 |
Küldje el az Optimize (Optimalizálás) és a Allow endpoint traffic direct (Végponti forgalom közvetlen engedélyezése) és minden más lehetőséget a proxykiszolgálónak. Ezzel a típussal a Microsoft 365 összes támogatott ExpressRoute-forgalmát elküldheti az ExpressRoute hálózati szegmenseibe, és minden mást a proxykiszolgálóra. |
Íme egy egyszerű példa a PowerShell-szkript meghívására:
Get-PacFile -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7
Számos paramétert adhat át a szkriptnek:
Paraméter | Leírás |
---|---|
ClientRequestId |
Ez kötelező, és a webszolgáltatásnak átadott GUID, amely a hívást kezdeményező ügyfélszámítógépet jelöli. |
Eset |
A Microsoft 365 szolgáltatáspéldány, amely alapértelmezés szerint a Worldwide (Globális) értékre van kapcsolva. Ezt a webszolgáltatásnak is átadja a szolgáltatás. |
TenantName |
Az Ön Microsoft 365-bérlőjének neve. Át lett adva a webszolgáltatásnak, és lecserélhető paraméterként használják egyes Microsoft 365 URL-címeken. |
Típus |
A létrehozni kívánt proxy PAC-fájl típusa. |
Íme egy másik példa a PowerShell-szkript további paraméterekkel való meghívására:
Get-PacFile -Type 2 -Instance Worldwide -TenantName Contoso -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7
A proxykiszolgáló megkerüli a Microsoft 365 hálózati forgalmának feldolgozását
Ha a PAC-fájlokat nem használja a közvetlen kimenő forgalomhoz, a proxykiszolgáló konfigurálásával továbbra is meg szeretné kerülni a feldolgozást a hálózati szegélyhálózaton. Egyes proxykiszolgáló-szállítók engedélyezték ennek automatikus konfigurálását a Microsoft 365 hálózatkezelési partnerprogramban leírtak szerint.
Ha ezt manuálisan teszi meg, le kell kérnie a Végpontkategóriák optimalizálása és engedélyezése adatokat a Microsoft 365 IP-címről és URL-webszolgáltatásról, és konfigurálnia kell a proxykiszolgálót, hogy megkerülje a feldolgozást ezekhez. Fontos, hogy elkerülje a TLS-megszakítást és -vizsgálatot és proxyhitelesítést az Optimalizálás és az Engedélyezés kategóriavégpontok esetében.
A Microsoft 365 IP-címeinek és URL-címeinek változáskezelése
A hálózati szegélyhálózat megfelelő konfigurációjának kiválasztása mellett fontos, hogy változáskezelési folyamatot vezessen be a Microsoft 365-végpontokhoz. Ezek a végpontok rendszeresen változnak. Ha nem kezeli a módosításokat, előfordulhat, hogy egy új IP-cím vagy URL hozzáadása után a felhasználók blokkolva lesznek, vagy gyenge a teljesítményük.
A Microsoft 365 IP-címeinek és URL-címeinek módosításai általában minden hónap utolsó napjának közelében jelennek meg. Előfordulhat, hogy a módosítást az ütemezésen kívül teszik közzé a működési, támogatási vagy biztonsági követelmények miatt.
Ha olyan módosítást tesznek közzé, amely megköveteli, hogy egy IP-cím vagy URL-cím hozzáadása miatt járjon el, 30 napos értesítést kell kapnia a módosítás közzétételétől kezdve addig, amíg a végponton létre nem jön egy Microsoft 365-szolgáltatás. Ez a hatálybalépés dátumaként jelenik meg. Bár erre az értesítési időszakra törekszünk, előfordulhat, hogy az üzemeltetési, támogatási vagy biztonsági követelmények miatt ez nem mindig lehetséges. Azok a módosítások, amelyek nem igényelnek azonnali beavatkozást a kapcsolat fenntartásához, például eltávolított IP-címek vagy URL-címek, vagy kevésbé jelentős módosítások, nem tartalmaznak előzetes értesítést. Ezekben az esetekben nincs megadva a hatálybalépés dátuma. Függetlenül attól, hogy milyen értesítést kap, minden módosításhoz felsoroljuk a szolgáltatás várható aktív dátumát.
Értesítés módosítása a webszolgáltatással
A Microsoft 365 IP-cím és URL-webszolgáltatás használatával értesítést kaphat a változásról. Javasoljuk, hogy óránként egyszer hívja meg a /version webes metódust a Microsoft 365-höz való csatlakozáshoz használt végpontok verziójának ellenőrzéséhez. Ha ez a verzió a használt verzióhoz képest változik, akkor le kell töltenie a legújabb végpontadatokat a /endpoints webes metódusból, és opcionálisan le kell kapnia a /changes webes metódus különbségeit. Nem szükséges meghívni a /endpoints vagy /changes webes metódusokat, ha nem történt változás a talált verzióban.
További információ: Microsoft 365 IP-cím és URL-webszolgáltatás.
Értesítés módosítása RSS-hírcsatornák használatával
A Microsoft 365 IP-címe és URL-webszolgáltatása olyan RSS-hírcsatornát biztosít, amelyre előfizethet az Outlookban. Az IP-címek és URL-címek minden Egyes Microsoft 365-szolgáltatáspéldányra vonatkozó lapján találhatók az RSS URL-címekre mutató hivatkozások. További információ: Microsoft 365 IP-cím és URL-webszolgáltatás.
Értesítési és jóváhagyási felülvizsgálat módosítása a Power Automate használatával
Tisztában vagyunk azzal, hogy továbbra is szükség lehet manuális feldolgozásra a hálózati végpont minden hónapban végrehajtott módosításaihoz. A Power Automate használatával létrehozhat egy folyamatot, amely e-mailben értesíti Önt, és opcionálisan jóváhagyási folyamatot futtat a módosításokhoz, ha a Microsoft 365 hálózati végpontjai módosulnak. Az ellenőrzés befejezése után a folyamat automatikusan elküldheti e-mailben a módosításokat a tűzfal- és proxykiszolgáló-felügyeleti csapatnak.
A Power Automate-mintáról és -sablonról a Microsoft 365 IP-címeinek és URL-címeinek módosításáról szóló e-mail küldése a Power Automate használatával című témakörben olvashat.
Microsoft 365 hálózati végpontok – gyakori kérdések
Tekintse meg a Microsoft 365 hálózati kapcsolattal kapcsolatos gyakori kérdéseket.
Hogyan küldhetek be kérdést?
Válassza az alul található hivatkozást annak jelzéséhez, hogy a cikk hasznos volt-e, vagy sem, és küldjön be további kérdéseket. Figyeljük a visszajelzéseket, és itt frissítjük a kérdéseket a leggyakrabban feltett kérdésekkel.
Hogyan állapíthatom meg a bérlőm helyét?
A bérlői hely az adatközpont-térkép alapján határozható meg a legjobban.
Megfelelő társviszonyt létesítek a Microsofttal?
A társviszony-létesítési helyeket részletesebben a Microsofttal való társviszony-létesítés ismerteti.
Globálisan több mint 2500 isp társviszony-létesítési kapcsolattal és 70 jelenléti ponttal zökkenőmentesnek kell lennie a hálózatról a miénkhez való csatlakozásnak. Nem árt, ha néhány percet tölt azzal, hogy meggyőződjön arról, hogy az isp társviszony-létesítési kapcsolata a legoptimálisabb. Íme néhány példa arra, hogy jó és nem olyan jó társviszony-létesítés van a hálózatunkon.
A közzétett listában nem szereplő IP-címekre irányuló hálózati kéréseket látok, van-e szükség ezekhez való hozzáférésre?
Csak azokhoz a Microsoft 365-kiszolgálókhoz biztosítunk IP-címeket, amelyekhez közvetlenül kell irányítania. Ez nem az összes OLYAN IP-cím átfogó listája, amely hálózati kéréseket fog látni. Látni fogja a Microsoftnak és külső tulajdonú, közzé nem helyezett IP-címeknek küldött hálózati kéréseket. Ezeket az IP-címeket a rendszer dinamikusan hozza létre vagy kezeli oly módon, hogy ne észlelje időben a módosításokat. Ha a tűzfal nem tudja engedélyezni a hozzáférést a hálózati kérések teljes tartománynevei alapján, a kérések kezeléséhez használjon PAC- vagy WPAD-fájlt.
Lát egy, a Microsoft 365-höz társított IP-címet, amelyről további információt szeretne?
- Ellenőrizze, hogy az IP-cím szerepel-e egy nagyobb közzétett tartományban egy CIDR-kalkulátor használatával, például az IPv4-hez vagy az IPv6-hoz. Például a 40.96.0.0/13 tartalmazza a 40.103.0.1 IP-címet annak ellenére, hogy a 40.96 nem felel meg a 40.103-nak.
- Ellenőrizze, hogy egy partner rendelkezik-e az IP-címmel egy whois-lekérdezéssel. Ha a Microsoft tulajdonában van, előfordulhat, hogy belső partner. Számos partnerhálózati végpont az alapértelmezett kategóriába tartozik, amelyhez az IP-címek nincsenek közzétéve.
- Előfordulhat, hogy az IP-cím nem része a Microsoft 365-nek vagy függőségnek. A Microsoft 365 hálózati végpontjainak közzététele nem tartalmazza az összes Microsoft hálózati végpontot.
- Ellenőrizze a tanúsítványt. Egy böngészőben csatlakozzon az IP-címhez a HTTPS://< IP_ADDRESS> és ellenőrizze a tanúsítványon felsorolt tartományokat, hogy megértse, milyen tartományok vannak társítva az IP-címmel. Ha ez egy Microsoft tulajdonában lévő IP-cím, és nem szerepel a Microsoft 365 IP-címek listáján, akkor valószínű, hogy az IP-cím egy Microsoft CDN-hez, például MSOCDN.NET vagy egy másik Microsoft-tartományhoz van társítva közzétett IP-adatok nélkül. Ha úgy találja, hogy a tanúsítványban szereplő tartomány az az, ahol az IP-cím listázására hivatkozunk, kérjük, tudassa velünk.
Egyes Microsoft 365 URL-címek a CNAME rekordokra mutatnak a DNS A rekordjai helyett. Mit kell tennem a CNAME rekordokkal?
Az ügyfélszámítógépek egy DNS A- vagy AAAA-rekordot igényelnek, amely egy vagy több IP-címet tartalmaz a felhőszolgáltatáshoz való csatlakozáshoz. A Microsoft 365 egyes URL-címei A vagy AAAA rekordok helyett CNAME rekordokat jelennek meg. Ezek a CNAME rekordok köztes rekordok, és több is lehet egy láncban. Ezek végül mindig egy IP-cím A vagy AAAA rekordját fogják feloldani. Vegyük például az alábbi DNS-rekordok sorozatát, amelyek végül az IP-cím IP_1 oldódnak fel:
serviceA.office.com -> CNAME: serviceA.domainA.com -> CNAME: serviceA.domainB.com -> A: IP_1
Ezek a CNAME-átirányítások a DNS normál részét képezik, és átláthatóak az ügyfélszámítógép és a proxykiszolgálók számára. Terheléselosztásra, tartalomkézbesítési hálózatokra, magas rendelkezésre állásra és szolgáltatási incidensek kezelésére szolgálnak. A Microsoft nem teszi közzé a köztes CNAME rekordokat, azok bármikor változhatnak, és önnek nem kell a proxykiszolgálón engedélyezettként konfigurálnia őket.
A proxykiszolgáló ellenőrzi a kezdeti URL-címet, amely a fenti példában serviceA.office.com, és ez az URL-cím szerepelne a Microsoft 365 közzétételi szolgáltatásában. A proxykiszolgáló az ADOTT URL-cím DNS-feloldását kéri egy IP-címre, és IP_1 kap vissza. Nem ellenőrzi a köztes CNAME átirányítási rekordokat.
A Microsoft nem ajánlott és nem támogatja a nem módosítható konfigurációkat vagy a közvetett Microsoft 365 teljes tartományneveken alapuló engedélyezési listák használatát. Ismert, hogy ügyfélkapcsolati problémákat okoznak. A CNAME átirányítást letiltó vagy a Microsoft 365 DNS-bejegyzéseit más módon helytelenül feloldó DNS-megoldások a DNS-rekurziót engedélyező DNS-továbbítókkal vagy a DNS gyökérmutatóival oldhatók meg. Számos külső hálózat peremhálózati terméke natív módon integrálja az ajánlott Microsoft 365-végpontot, hogy a Microsoft 365 IP-cím és URL-webszolgáltatás használatával engedélyezési listát tartalmazzon a konfigurációjukban.
Miért látok olyan neveket, mint például a nsatc.net vagy a akadns.net a Microsoft-tartománynevekben?
A Microsoft 365 és más Microsoft-szolgáltatások számos külső szolgáltatást használnak, például az Akamai és a MarkMonitor szolgáltatást a Microsoft 365 felhasználói élményének javításához. A lehető legjobb élmény érdekében a jövőben módosíthatjuk ezeket a szolgáltatásokat. A külső tartományok tartalmazhatnak tartalmakat, például CDN-eket, vagy üzemeltethetnek egy szolgáltatást, például egy földrajzi forgalomkezelési szolgáltatást. A jelenleg használt szolgáltatások közé tartoznak a következők:
A MarkMonitor akkor van használatban, ha *.nsatc.net tartalmazó kéréseket lát. Ez a szolgáltatás tartománynév-védelmet és monitorozást biztosít a rosszindulatú viselkedés elleni védelem érdekében.
Az ExactTarget akkor van használatban, ha a *.exacttarget.com kéréseit látja. Ez a szolgáltatás biztosítja az e-mail-hivatkozások kezelését és a rosszindulatú viselkedés elleni figyelést.
Az Akamai akkor van használatban, ha az alábbi FQDN-eket tartalmazó kérelmeket lát. Ez a szolgáltatás geo-DNS- és tartalomkézbesítési hálózati szolgáltatásokat kínál.
*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net
A Microsoft 365-höz a lehető legkisebb kapcsolattal kell rendelkeznem
Mivel a Microsoft 365 egy olyan szolgáltatáscsomag, amely az interneten keresztüli működésre lett kialakítva, a megbízhatósági és rendelkezésre állási ígéretek számos szabványos internetes szolgáltatás rendelkezésre állásán alapulnak. A Microsoft 365 használatához például a szabványos internetes szolgáltatásoknak , például a DNS-nek, a CRL-nek és a CDN-nek elérhetőnek kell lenniük, ahogyan a legtöbb modern internetes szolgáltatás használatához elérhetőnek kell lenniük.
A Microsoft 365 csomag négy fő szolgáltatási területre van bontva, amelyek a három elsődleges számítási feladatot és a közös erőforrások készletét képviselik. Ezekkel a szolgáltatási területekkel forgalomfolyamokat társíthat egy adott alkalmazáshoz, azonban mivel a funkciók gyakran több számítási feladat végpontjait használják, ezek a szolgáltatási területek nem használhatók hatékonyan a hozzáférés korlátozására.
Szolgáltatási terület | Leírás |
---|---|
Exchange |
Az Exchange Online és az Exchange Online védelme |
SharePoint |
SharePoint Online és OneDrive Vállalati verzió |
Skype Vállalati online verzió és Microsoft Teams |
A Skype Vállalati verzió és a Microsoft Teams |
Közös |
Microsoft 365 Pro Plus, Office böngészőben, Microsoft Entra ID és egyéb gyakori hálózati végpontok |
Az alapvető internetes szolgáltatások mellett léteznek külső szolgáltatások is, amelyek csak a funkciók integrálására szolgálnak. Bár ezekre a szolgáltatásokra szükség van az integrációhoz, a Microsoft 365-végpontok című cikkben választhatóként vannak megjelölve. Ez azt jelenti, hogy a szolgáltatás alapvető funkciói továbbra is működnek, ha a végpont nem érhető el. A szükséges hálózati végpontok kötelező attribútuma true (igaz) értékre van állítva. A nem kötelező hálózati végpontok kötelező attribútuma false (hamis), a notes attribútum pedig részletezi a hiányzó funkciókat, amelyekre a kapcsolat blokkolásakor számítania kell.
Ha a Microsoft 365-öt próbálja használni, és külső szolgáltatások nem érhetők el, biztosítani szeretné, hogy a jelen cikkben kötelezőként vagy választhatóként megjelölt teljes tartománynevek engedélyezve legyenek a proxyn és a tűzfalon keresztül.
Hogyan tilthatom le a Microsoft fogyasztói szolgáltatásaihoz való hozzáférést?
A bérlőkorlátozások funkció mostantól támogatja az összes Microsoft fogyasztói alkalmazás (MSA-alkalmazás), például a OneDrive, a Hotmail és a Xbox.com használatát. Ez a funkció egy külön fejlécet használ a login.live.com végponthoz. További információ: SaaS-felhőalkalmazásokhoz való hozzáférés kezelése bérlői korlátozások használatával.
A tűzfal ip-címeket igényel, és nem tudja feldolgozni az URL-címeket. Hogyan konfigurálhatom a Microsoft 365-höz?
A Microsoft 365 nem adja meg az összes szükséges hálózati végpont IP-címét. Néhány csak URL-címként van megadva, és alapértelmezettként van kategorizálva. A kötelező alapértelmezett kategóriába tartozó URL-címeket proxykiszolgálón keresztül kell engedélyezni. Ha nem rendelkezik proxykiszolgálóval, tekintse meg, hogyan konfigurálta a webkérelmeket olyan URL-címekhez, amelyeket a felhasználók beírnak egy webböngésző címsorába; a felhasználó sem ad meg IP-címet. A Microsoft 365 alapértelmezett kategória URL-címeit, amelyek nem biztosítanak IP-címeket, ugyanúgy kell konfigurálni.
Kapcsolódó cikkek
Microsoft 365 IP-cím és URL-webszolgáltatás
Microsoft Azure Datacenter IP-tartományok
Nyilvános Microsoft IP-címterület
A Microsoft Intune hálózati infrastruktúrára vonatkozó követelményei