Microsoft 365 の VPN 分割トンネリングの実装
注:
この記事は、リモート ユーザー向けの Microsoft 365 の最適化に対処する一連の記事の一部です。
- VPN 分割トンネリングを使用してリモート ユーザーの Microsoft 365 接続を最適化する方法の概要については、「 概要: Microsoft 365 の VPN 分割トンネリング」を参照してください。
- VPN 分割トンネリング シナリオの詳細な一覧については、「 Microsoft 365 の一般的な VPN 分割トンネリング シナリオ」を参照してください。
- VPN 分割トンネリング環境での Teams メディア トラフィックのセキュリティ保護に関するガイダンスについては、「 VPN 分割トンネリングのための Teams メディア トラフィックのセキュリティ保護」を参照してください。
- VPN 環境で Stream イベントとライブ イベントを構成する方法については、「VPN 環境での Stream イベントとライブ イベントに関する特別な考慮事項」を参照してください。
- 中国のユーザー向けの Microsoft 365 ワールドワイド テナント パフォーマンスの最適化の詳細については、「中国 ユーザー向けの Microsoft 365 パフォーマンスの最適化」を参照してください。
リモート ワーカーの接続を最適化するための Microsoft が推奨する戦略は、問題を迅速に軽減し、いくつかの簡単な手順で高パフォーマンスを提供することに焦点を当てています。 これらの手順では、ボトルネックの VPN サーバーをバイパスするいくつかの定義済みエンドポイントのレガシ VPN アプローチを調整します。 同等、あるいはより優れたセキュリティ モデルを異なるレイヤに適用することで、企業ネットワークの出口ですべてのトラフィックを保護する必要がなくなります。 ほとんどの場合、これは数時間で効果的に実現でき、要件の需要と時間が許す限り、他のワークロードに対してスケーラブルになります。
スプリット トンネル VPN の実装
この記事では、Microsoft 365 の一般的な VPN 分割トンネリング シナリオで、VPN クライアント アーキテクチャを VPN 強制トンネルから VPN 強制トンネルに移行するために必要な簡単な手順について説明します。いくつかの信頼された例外がある VPN 分割トンネル モデル #2 です。
次の図は、推奨している VPN スプリット トンネリング ソリューションのしくみを示しています。
1. 最適化するエンドポイントを決める
Microsoft 365 URL と IP アドレス範囲に関する記事では、最適化に必要なキー エンドポイントを明確に特定し、それらを最適化として分類します。 現在、最適化する必要がある URL は 4 つ、IP サブネットは 20 個だけです。 この小規模なエンドポイント グループは、Teams メディアなどの待機時間の影響を受けやすいエンドポイントを含め、Microsoft 365 サービスへのトラフィック量の約 70% から 80% を占めます。 基本的にこれは、特別な注意を払う必要があるトラフィックであり、従来のネットワーク パスと VPN インフラストラクチャに大きく負荷がかかるトラフィックでもあります。
このカテゴリの URL には、次のような特性があります。
- Microsoft インフラストラクチャにホストされている Microsoft が所有および管理するエンドポイントである
- IP が提供されている
- 変化率が低く、数も少ないと予想される (現在 20 の IP サブネット)
- 帯域幅や遅延の影響を受けやすい
- 必要なセキュリティ要素をネットワーク上で、インラインではなくサービスで提供することができる
- Microsoft 365 サービスへのトラフィック量の約 70 ~ 80% を占める
Microsoft 365 エンドポイントとその分類方法と管理方法の詳細については、「 Microsoft 365 エンドポイントの管理」を参照してください。
URL を最適化する
現在の最適化 URL は次の表に記載されています。 ほとんどの状況では、エンドポイントがプロキシにではなく直接送信されるように設定されているブラウザ PAC ファイルの URL エンドポイントのみを使用する必要があります。
URL を最適化する | ポート/プロトコル | 用途 |
---|---|---|
https://outlook.office365.com | TCP 443 | これは、Outlook が Exchange Online サーバーへの接続に使用する主要なURL の 1 つであり、帯域幅の使用数と接続数が大量になります。 クイック検索、その他のメールボックス 予定表、空き時間の検索、ルールと通知の管理、Exchange オンラインのアーカイブ、送信トレイからのメール送信などといったオンライン上の機能では、ネットワークの遅延を少なくしておく必要があります。 |
https://outlook.office.com | TCP 443 | このURLは Outlook Online Web Access が Exchange Online のサーバーに接続するために使用され、ネットワーク遅延の影響を受けやすくなっています。 SharePoint Online での大きなファイルのアップロードとダウンロードには、特に接続性が必要です。 |
https://\<tenant\>.sharepoint.com |
TCP 443 | これは SharePoint Online のプライマリ URL であり、高帯域幅の使用があります。 |
https://\<tenant\>-my.sharepoint.com |
TCP 443 | これは OneDrive for Business の標準 URL で、帯域幅の使用率が高く、OneDrive for Business Sync ツールからの接続数が多くなることがあります。 |
Teams のメディア IP (URL なし) | UDP 3478、3479、3480、および3481 | リレー検出の割り当てとリアルタイム トラフィック。 これらは、Skype for Businessと Microsoft Teams Media トラフィック (通話、会議など) に使用されるエンドポイントです。 ほとんどのエンドポイントは、Microsoft Teams クライアントが発信を確立するときに提供されます(サービスのリストにある必要な IP 内に含まれています)。 メディアの品質を最適化するには、UDP プロトコルを使用する必要があります。 |
上記の例では、 テナント を Microsoft 365 テナント名に置き換える必要があります。 たとえば、 contoso.onmicrosoft.com では 、contoso.sharepoint.com と contoso-my.sharepoint.com を使用します。
IP アドレスの範囲を最適化する
これらのエンドポイントが対応する IP アドレス範囲を記述する時点では、次のようになります。 この例、Microsoft 365 IP と URL Web サービス、URL/IP ページなどのスクリプトを使用して、構成を適用するときに更新プログラムを確認し、定期的に実行するポリシーを設定することを強くお勧めします。 継続的アクセス評価を利用する場合は、「 継続的アクセス評価 IP アドレスのバリエーション」を参照してください。 特定のシナリオで、 insufficient_claimsまたは インスタント IP 強制チェックに関連するブロックが失敗するのを防ぐために、信頼された IP または VPN を介 して最適化された IP をルーティングすることが必要になる場合があります。
104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.122.0.0/15
2. VPN を介して、これらのエンドポイントへのアクセスを最適化する
こういった重要なエンドポイントを特定したら、それを VPN トンネルから逸らし、ユーザーのローカル インターネット接続を使用してサービスに直接接続できるようにする必要があります。 これを実現する方法は、使用する VPN 製品とマシンのプラットフォームによって異なりますが、ほとんどの VPN ソリューションでは、この手法を適用するポリシーを簡単に構成することができます。 VPN プラットフォーム固有のスプリット トンネリングを行う方法については、「一般 VPN プラットフォームの HOWTO ガイド」をご覧ください。
ソリューションを手動でテストしたい場合は、次の PowerShell の例を実行して、ルート テーブルからソリューションをエミュレートできます。 この例では、それぞれの Teams メディア IP サブネットのルートをルート テーブルに追加します。 Teams のメディアの前後でのパフォーマンスをテストをし、指定されたエンドポイントのルートの違いを観察できます。
例: Teams メディア IP サブネットをルート テーブルに追加する
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = "52.120.0.0/14", "52.112.0.0/14", "13.107.64.0/18" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
上記のスクリプトで、 $intIndex は、インターネットに接続されたインターフェースの索引 (PowerShellで get-netadapter を実行して検索し、ifIndex の値を探します) であり、 $gateway はそのインターフェースの既定のゲートウェイです (コマンド プロンプトの ipconfig か、 (Get-NetIPConfiguration | Foreach IPv4DefaultGateway).NextHop を PowerShellで実行し検索します)。
ルートを追加したら、コマンド プロンプトまたは PowerShell で「印刷のルーティング」を実行して、ルート テーブルが正しいことを確認できます。 出力には、追加したルートが含まれ、インターフェースのインデックス (この例では 22) とそのインターフェースのゲートウェイ (この例では 192.168.1.1) が表示されます。
[最適化] カテゴリ のすべての 現在の IP アドレス範囲のルートを追加するには、次のスクリプトバリエーションを使用して、現在の [IP サブネットの最適化] セットについて Microsoft 365 IP および URL Web サービス にクエリを実行し、ルート テーブルに追加します。
例: すべての最適化サブネットをルート テーブルに追加する
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
うっかり誤ったパラメーターでルートを追加してしまった場合、あるいは単に変更を元に戻したい場合は、次のコマンドを使用して、追加したルートを削除できます。
foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
VPN クライアントの設定を行い、最適化 IP へのトラフィックがこの方法でルーティングされるようにしてください。 これにより、トラフィックは、Microsoft 365 サービスと接続エンドポイントを可能な限りユーザーの近くに提供する Azure Front Door などの Microsoft 365 Service Front Door などのローカル Microsoft リソースを利用できます。 これにより、世界中のどこにいても高いパフォーマンス レベルをユーザーに提供でき、 Microsoft の世界クラスのグローバル ネットワークを最大限に活用できます。これは、ユーザーの直接エグレスから数ミリ秒以内に発生する可能性があります。
一般 VPN プラットフォームのHOWTO ガイド
このセクションでは、この領域で最も一般的なパートナーからの Microsoft 365 トラフィックの分割トンネリングを実装するための詳細なガイドへのリンクを提供します。 ガイドは利用可能になり次第、追加する予定です。
- Windows 10 VPN クライアント: ネイティブ Windows 10 VPN クライアントを使用したリモート ワーカー向けの Microsoft 365 トラフィックの最適化
- Cisco Anyconnect: Anyconnect スプリット トンネリングを Office365 向けに最適化する
- Palo Alto GlobalProtect: VPN スプリット トンネルを使用した Microsoft 365 トラフィックの最適化アクセス ルートの除外
- F5 ネットワーク BIG-IP APM: BIG-IP APM を 使用する場合の VPN 経由のリモート アクセスでの Microsoft 365 トラフィックの最適化
- Citrix Gateway: Office365 向けのCitrix Gateway VPN スプリット トンネルの最適化
- Pulse Secure: VPN トンネリング: Microsoft 365 アプリケーションを除外するように分割トンネリングを構成する方法
- Check Point VPN: Microsoft 365 およびその他の SaaS アプリケーション用にスプリット トンネルを構成する方法
関連記事
概要: Microsoft 365 の VPN 分割トンネリング
Microsoft 365 の一般的な VPN 分割トンネリング シナリオ
VPN 分割トンネリングのための Teams メディア トラフィックのセキュリティ保護
VPN 環境での Stream イベントとライブ イベントに関する特別な考慮事項
中国ユーザー向けの Microsoft 365 パフォーマンスの最適化
Microsoft 365 ネットワークとパフォーマンスのチューニング
セキュリティ専門家と IT による、現代のユニークなリモート ワーク シナリオで最新のセキュリティ管理を実現するための代替的な方法 (Microsoft セキュリティ チーム ブログ)
Microsoft での VPN のパフォーマンス強化: Windows 10 の VPN プロファイルを使用して自動接続を許可する