Contoso Corporation のネットワーク
クラウド包括インフラストラクチャを採用するために、Contoso はクラウド サービスへのネットワーク トラフィックの移動方法の基本的なシフトを考案しました。 オフィス階層の次のレベルのネットワーク接続とトラフィックに焦点を当てた内部ハブアンドスポーク モデルの代わりに、ユーザーの場所をローカル インターネットエグレスにマップし、インターネット上の最も近い Microsoft 365 ネットワークの場所にローカル接続をマップしました。
ネットワーク インフラストラクチャ
世界中の Contoso オフィスをリンクするネットワーク要素を次に示します。
Multiprotocol Label Switching (MPLS) WAN ネットワーク
MPLS WAN ネットワークは、パリ本社を地域オフィスに接続し、地域オフィスをスポークアンドハブ構成のサテライト オフィスに接続します。 このネットワークにより、ユーザーはパリ本社で基幹業務アプリケーションを構成するオンプレミス サーバーにアクセスできます。 また、ネットワーク セキュリティ デバイスが要求をスクラブするパリオフィスに汎用インターネット トラフィックをルーティングします。 各オフィス内では、ルーターは、プライベート IP アドレス空間を使用するサブネット上の有線ホストまたはワイヤレス アクセス ポイントにトラフィックを配信します。
Microsoft 365 トラフィックのローカル 直接インターネット アクセス
各オフィスには、1 つ以上のローカル インターネット ISP ネットワーク回線を備えたソフトウェア定義 WAN (SD-WAN) デバイスがあり、プロキシ サーバー経由で独自のインターネット接続が可能です。 これは通常、パブリック IP アドレスとローカル DNS サーバーも提供するローカル ISP への WAN リンクとして実装されます。
インターネット プレゼンス
Contoso 社は、contoso.com パブリック ドメイン名を所有しています。 製品を注文するための Contoso パブリック Web サイトは、パリのキャンパス内のインターネットに接続されたデータセンター内のサーバーのセットです。 Contoso は、インターネット上で /24 パブリック IP アドレス範囲を使用します。
図 1 は、Contoso ネットワーク インフラストラクチャとそのインターネットへの接続を示しています。
図 1: Contoso ネットワーク
Microsoft への最適なネットワーク接続のための SD-WAN の使用
Contoso 社は次の Microsoft 365 ネットワーク接続の原則に従いました。
- Microsoft 365 ネットワーク トラフィックを識別して区別する
- ネットワーク接続のローカルの出口を提供する
- ネットワーク ヘアピンを回避する
- 重複するネットワーク セキュリティ デバイスをバイパスする
Microsoft 365 のネットワーク トラフィックには、 最適化、 許可、既定の 3 つのカテゴリ があります。 最適化と許可トラフィックは、エンドポイントで暗号化およびセキュリティ保護され、Microsoft 365 ネットワーク宛ての信頼されたネットワーク トラフィックです。
Contoso は次のように決定しました。
オプティマイズおよび許可カテゴリ トラフィックに直接インターネット エグレスを使用し、すべての既定のカテゴリ トラフィックをパリベースの中央インターネット接続に転送します。
これらの原則に従い、Microsoft 365 クラウドベースのサービスに最適なネットワーク パフォーマンスを実現する簡単な方法として、各オフィスに SD-WAN デバイスを展開します。
SD-WAN デバイスには、ローカル オフィス ネットワーク用の LAN ポートと複数の WAN ポートがあります。 1 つの WAN ポートが自分の MPLS ネットワークに接続されます。 もう 1 つはローカル ISP 回線に接続します。 SD-WAN デバイスは、ISP リンクを介してカテゴリ ネットワーク トラフィックを最適化および許可します。
Contoso 基幹業務アプリ インフラストラクチャ
Contoso は、次の基幹業務アプリケーションとサーバー イントラネット インフラストラクチャを設計しました。
- サテライト オフィスは、ローカル キャッシュ サーバーを使用して、アクセス頻度の高いドキュメントおよび内部 Web サイトを格納します。
- 地域ハブは、地域オフィスとサテライト オフィスに地域アプリケーション サーバーを使用します。 これらのサーバーは、パリ本社のサーバーと同期します。
- パリのキャンパス データセンターには、organization全体にサービスを提供する一元化されたアプリケーション サーバーが含まれています。
図 2 は、Contoso イントラネット経由でサーバーにアクセスするときに使用されるネットワーク トラフィック容量の割合を示しています。
図 2: 内部アプリケーション用の Contoso インフラストラクチャ
サテライトまたはリージョン ハブ オフィスの場合、従業員が必要とするリソースの 60% をサテライトおよびリージョン ハブ オフィス サーバーで提供できます。 リソース要求の追加の 40% は、パリ キャンパスへの WAN リンクを経由する必要があります。
Microsoft 365 for enterprise のネットワーク分析と準備
Contoso ユーザーによるエンタープライズ サービスに対する Microsoft 365 の導入の成功は、インターネットへの高可用性とパフォーマンスの高い接続、または Microsoft クラウド サービスへの直接の接続によって異なります。 Contoso は、エンタープライズ クラウド サービス向けの Microsoft 365 への最適化された接続を計画および実装するために、次の手順を実行しました。
計画に役立つ会社の WAN ネットワーク ダイアグラムを作成する
ネットワーク計画を開始するために、Contoso は、オフィスの場所、既存のネットワーク接続、既存のネットワーク境界デバイス、ネットワーク上で管理されるサービス クラスを示す図を作成しました。 この図は、ネットワーク接続の計画と実装の後続の各手順で使用しました。
エンタープライズ ネットワーク接続用の Microsoft 365 のプランを作成する
Contoso は 、Microsoft 365 ネットワーク接続の原則 とサンプル参照ネットワーク アーキテクチャを使用して、SD-WAN を Microsoft 365 接続の優先トポロジとして識別しました。
各オフィスでのインターネット接続使用率と MPLS-WAN 帯域幅を分析し、必要に応じて帯域幅を増やします
各オフィスの現在の使用状況が分析され、回線が増加し、予測された Microsoft 365 クラウドベースのトラフィックが平均 20% の未使用容量で動作するようにしました。
Microsoft ネットワーク サービスのパフォーマンスを最適化する
Contoso は、最適なパフォーマンスを実現するために、Office 365、Intune、および Azure エンドポイントのセットと、インターネット パスに構成されたファイアウォール、セキュリティ デバイス、およびその他のシステムを決定しました。 Office 365最適化および許可カテゴリ トラフィックのエンドポイントは、ISP 回線経由でルーティングするために SD-WAN デバイスに構成されました。
内部 DNS を構成する
DNS が機能し、Microsoft 365 トラフィックのためにローカルで検索対象になる必要があります。
ネットワーク エンドポイントとポート接続を検証する
Contoso は、Microsoft ネットワーク接続テスト ツールを実行して、Microsoft 365 for Enterprise クラウド サービスの接続を検証しました。
ネットワーク接続のために従業員のコンピューターを最適化する
個々のコンピューターがチェックされ、最新のオペレーティング システムの更新プログラムがインストールされ、エンドポイント セキュリティ監視がすべてのクライアントでアクティブであることを確認しました。
次の手順
Contoso が従業員向けにクラウドでオンプレミスの Active Directory Domain Servicesを活用し、顧客とビジネス パートナーの認証をフェデレーションする方法について説明します。