Microsoft 365 ネットワーク接続の原則

[アーティクル]
10/26/2023

この記事は、Microsoft 365 Enterprise および Office 365 Enterprise の両方に適用されます。

Microsoft 365 ネットワーク接続のネットワークの計画を開始する前に、Microsoft 365 トラフィックを安全に管理し、可能な限り最高のパフォーマンスを得るための接続の原則を理解しておくことが重要です。この記事は、Microsoft 365 ネットワーク接続を安全に最適化するための最新のガイダンスを理解するのに役立ちます。

従来のエンタープライズネットワークは、強力な境界セキュリティを使用して、会社の運営データセンターでホストされているアプリケーションやデータにユーザーがアクセスできるように設計されています。従来のモデルでは、ユーザーは社内ネットワークの境界内から、または支社の WAN リンクを介して、あるいは VPN 接続経由でリモートでアプリケーションやデータにアクセスします。

Microsoft 365 のような SaaS アプリケーションを導入すると、ネットワークの境界外でサービスとデータの組み合わせができます。最適化されていない場合、ユーザーと SaaS アプリケーション間のトラフィックが、パケットの検査、ネットワークヘアピン、地理的に離れたエンドポイントへの偶発的な接続、その他の要因による遅延の対象になります。主要な最適化ガイドラインについて理解し、それを実装することで、 Microsoft 365 の最適なパフォーマンスと信頼性を実現できます。

この記事では、次について説明します。

クラウドへのお客様の接続に適用されるMicrosoft 365 アーキテクチャ
Microsoft 365 の接続の原則と、ネットワークトラフィックとエンドユーザーエクスペリエンスの最適化に関する戦略が更新されました
Office 365 Endpoint の Web サービスにより、ネットワーク管理者は、ネットワークの最適化に使用するエンドポイントの構造化リストを利用できます
新しい Office 365 エンドポイントのカテゴリと最適化のガイダンス
境界ネットワークセキュリティとエンドポイントセキュリティの比較
Microsoft 365 トラフィックの増分最適化オプション
Microsoft 365 の接続テスト (Microsoft 365 への基本的な接続をテストするための新しいツール)

Microsoft 365 アーキテクチャ

Microsoft 365 は、さまざまなマイクロサービスとアプリケーションのセットを通じて生産性とコラボレーションのシナリオを提供する分散型サービスとしてのソフトウェア (SaaS) クラウドです。たとえば、Exchange Online、SharePoint Online、Skype for Business Online、Microsoft Teams、Exchange Online Protection、ブラウザーでの Office などです。特定の Microsoft 365 アプリケーションは、顧客のネットワークやクラウドへの接続に適用される独自の機能を備えている場合があります。これらはすべて、いくつかの主要なプリンシパル、目標、アーキテクチャパターンを共有します。接続に関するこれらの原則とアーキテクチャパターンは、他の多くの SaaS クラウドで一般的です。同時に、Microsoft Azure などのサービスとしてのプラットフォームクラウドとサービスとしてのインフラストラクチャの一般的なデプロイモデルとは異なります。

Microsoft 365 の最も重要なアーキテクチャ機能の 1 つは (多くの場合、ネットワークアーキテクトによって見逃されたり、誤って解釈されたりします)、ユーザーが接続する方法のコンテキストで、真にグローバルな分散サービスであるということです。ターゲット Microsoft 365 テナントの場所は、顧客データがクラウド内に格納される場所の地域を理解するために重要です。ただし、Microsoft 365 のユーザーエクスペリエンスでは、データを含むディスクに直接接続する必要はありません。 Microsoft 365 のユーザーエクスペリエンス (パフォーマンス、信頼性、およびその他の重要な品質特性を含む) には、世界中の数百の Microsoft ロケーションでスケールアウトされた高度に分散されたサービスフロントエンドを介した接続が含まれます。ほとんどの場合、最適なユーザーエクスペリエンスは、顧客ネットワークがユーザー要求を最も近い Microsoft 365 サービスエントリポイントにルーティングできるようにすることで実現されます。これは、中央の場所またはリージョンのエグレスポイントを介して Microsoft 365 に接続するのではなく、推奨されます。

ほとんどの顧客の場合、Microsoft 365 のユーザーは複数の場所に分散されています。最適な結果を得るには、このドキュメントに記載されている原則をスケールアウト (スケールアップではなく) の観点から確認する必要があります。また、Microsoft 365 テナントの地理的な場所ではなく、Microsoft Global Network の最も近いプレゼンスポイントへの接続の最適化にも重点を置きます。つまり、Microsoft 365 テナントデータが特定の地理的な場所に格納されている場合でも、そのテナントの Microsoft 365 エクスペリエンスは分散されたままです。テナントが持つすべてのエンドユーザーの場所に非常に近い (ネットワーク) 近くに存在できます。

Microsoft 365 の接続テスト

Microsoft では、最適な Microsoft 365 接続とパフォーマンスを実現するために、次の原則を推奨しています。これらの Microsoft 365 接続の原則を使用してトラフィックを管理すれば、Microsoft 365 に接続したときに最高のパフォーマンスを得ることができます。

ネットワーク設計の主な目標は、 Microsoft のあらゆるデータセンターを、世界中に広がる低遅延のクラウドアプリケーションエントリポイントと相互に接続した Microsoft のパブリックネットワークバックボーン、Microsoft のグローバルネットワークへのラウンドトリップ時間 (RTT) を削減することにより、遅延を最小限に抑えることです。 Microsoft の高速で信頼性の高いグローバルネットワーク構築方法については、Microsoft のグローバルネットワークの詳細を参照してください。

Microsoft 365 トラフィックを識別して区別する

Microsoft 365 トラフィックを識別します。

Microsoft 365 のネットワークトラフィックを識別することが、トラフィックをインターネット向けのジェネリックネットワークトラフィックから区別する最初のステップです。 Microsoft 365 接続は、ネットワークルートの最適化、ファイアウォール規則、ブラウザープロキシ設定などのアプローチの組み合わせを実装することで最適化できます。さらに、特定のエンドポイントのネットワーク検査デバイスをバイパスすることも有益です。

以前の Microsoft 365 の最適化ガイドでは、Microsoft 365 エンドポイントを、必須と オプションの 2 つのカテゴリに分けていました。新しい Microsoft 365 のサービスと機能をサポートするためにエンドポイントが追加されたため、Microsoft 365 エンドポイントは、最適化、許可、既定の 3つのカテゴリに再編成されました。各カテゴリのガイドラインは、カテゴリ内のすべてのエンドポイントに適用されるため、最適化の理解と実装が容易になります。

Microsoft 365 エンドポイントのカテゴリと最適化メソッドの詳細については、「新しい Office 365 エンドポイントのカテゴリ」を参照してください。

Microsoft は現在、Microsoft 365 のすべてのエンドポイントを Web サービスとして公開し、最適なデータの使用方法についてのガイダンスを提供しています。 Microsoft 365 エンドポイントを取得して使用する方法の詳細については、「Office 365 URL および IP アドレス範囲」を参照してください。

ネットワーク接続のローカルの出口を提供する

ローカルでのエグレスネットワーク接続。

ローカル DNS とインターネットエグレスは、接続遅延を削減し、Microsoft 365 サービスへの最も近いポイントにユーザー接続が確立されるようにするために非常に重要となります。複雑なネットワークトポロジでは、ローカル DNS とローカルインターネットエグレスの両方を一緒に実装することが重要です。 Microsoft 365 が最も近いエントリポイントにクライアントの接続をルーティングする方法の詳細については、「クライアントの接続」の記事を参照してください。

Microsoft 365 のようなクラウドサービスが登場する前は、ネットワークアーキテクチャの設計要素としてのエンドユーザーのインターネット接続は比較的シンプルでした。インターネットサービスと Web サイトが世界中に分散している場合、企業の出口ポイントと特定の送信先エンドポイントの間の遅延は、主に地理的な距離の関数に左右されます。

従来のネットワークアーキテクチャでは、すべての送信インターネット接続は社内ネットワークを通過し、集中管理する場所から送信されます。 Microsoft のクラウドサービスが成熟するにつれて、遅延の影響を受けるクラウドサービスをサポートするために、分散インターネット接続ネットワークアーキテクチャが重要になってきました。 Microsoft のグローバルネットワークは、受信クラウドサービス接続を最も近いエントリポイントにルーティングするグローバルエントリポイントの動的ファブリック、分散サービスのフロントドアインフラストラクチャを用いて遅延要件を満たすように設計されました。これは、顧客とクラウドとの間のルートを効果的に短縮することで、Microsoft クラウドの顧客の「ラストマイル」の長さを短縮することを目的としたものです。

エンタープライズ Wan は通常、1 つ以上のプロキシサーバーを経由して、インターネットへの送信前の検査として、中心となる会社の本社にネットワークトラフィックをバックホールするよう設計されています。次の図は、このようなネットワークトポロジを示しています。

従来のエンタープライズネットワークモデル。

Microsoft 365 は、世界中のフロントエンドサーバーを含む Microsoft Global Network 上で実行されるため、多くの場合、ユーザーの場所に近いフロントエンドサーバーがあります。ローカルのインターネットエグレスを提供し、Microsoft 365 エンドポイントにローカルな名前解決を提供するように内部 DNS サーバーを構成することで、Microsoft 365 宛てのネットワークトラフィックは、可能な限りユーザーに近い Microsoft 365 フロントエンドサーバーに接続できます。次の図は、メインオフィス、ブランチオフィス、およびリモートの場所から接続するユーザーが、最も近い Microsoft 365 エントリポイントへの最短ルートに従うことを可能にするネットワークトポロジの例を示しています。

地域の出口ポイントがある WAN ネットワークモデル。

この方法で Microsoft 365 エントリポイントへのネットワークパスを短縮すると、接続のパフォーマンスと Microsoft 365 のエンドユーザーエクスペリエンスが向上します。また、ネットワークアーキテクチャに対する将来の変更が Microsoft 365 のパフォーマンスと信頼性に与える影響を軽減するのにも役立ちます。

また、応答する DNS サーバーが遠くにあるかビジー状態である場合は、DNS 要求が遅延を生じさせる場合があります。ローカル DNS サーバーをブランチの場所にプロビジョニングし、DNS レコードを適切にキャッシュするように構成することで、名前解決の待機時間を最小限に抑えることができます。

リージョンエグレスは Microsoft 365 に適していますが、最適な接続モデルは、企業ネットワーク上にあるか、家庭、ホテル、コーヒーショップ、空港などのリモートの場所にあるかに関係なく、ユーザーの場所で常にネットワークエグレスを提供することです。このローカルダイレクトエグレスモデルは、次の図で表されています。

ローカル出口ネットワークアーキテクチャ。

Microsoft 365 を導入しているエンタープライズは、Microsoft 365 へのユーザー接続が最も近い Microsoft グローバルネットワークのエントリポイントへの最短ルートを使用するようにすることで、Microsoft のグローバルネットワークの分散サービスフロントドアアーキテクチャを利用できます。ローカル出口ネットワークアーキテクチャでは、ユーザーの場所に関係なく、最寄りの出口を介して Microsoft 365 のトラフィックをルーティングすることができます。

ローカル出口アーキテクチャには、従来のモデルに比べて次のような利点があります。

ルートの長さを最適化することにより、Microsoft 365 の最適なパフォーマンスを提供します。エンドユーザー接続は、分散サービスのフロントドアインフラストラクチャによって、最も近い Microsoft 365 のエントリポイントに動的にルーティングされます。
ローカル出口を許可することで、社内ネットワークインフラストラクチャの負荷を軽減します。
クライアントエンドポイントセキュリティとクラウドセキュリティ機能を使用して、両端の接続をセキュリティで保護します。

ネットワークヘアピンを回避する

ヘアピンを回避します。

一般的な経験則として、ユーザーと最も近い Microsoft 365 エンドポイント間の最短で最も直接的なルートは、最高のパフォーマンスを提供します。ネットワークヘアピンは、特定の宛先に向かう WAN または VPN トラフィックが最初に別の中間の場所 (セキュリティスタック、クラウドアクセスブローカー、クラウドベースの Web ゲートウェイなど) に向けられ、地理的に離れたエンドポイントへの遅延と潜在的なリダイレクトが発生したときに発生します。ネットワークヘアピンは、ルーティング/ピアリングの非効率性または最適でない (リモート) DNS 参照によっても発生します。

ローカルエグレスケースでも Microsoft 365 接続がネットワークヘアピンの影響を受けないようにするには、ユーザーの場所にインターネットエグレスを提供するために使用される ISP が、その場所に近接した Microsoft Global Network との直接ピアリング関係を持っているかどうかをチェックします。信頼された Microsoft 365 トラフィックを直接送信するようにエグレスルーティングを構成することもできます。これは、インターネットにバインドされたトラフィックを処理するサードパーティのクラウドまたはクラウドベースのネットワークセキュリティベンダーを介したプロキシまたはトンネリングとは対照的です。 Microsoft 365 エンドポイントのローカル DNS 名前解決は、直接のルーティングに加えて、最も近い Microsoft 365 エントリポイントがユーザー接続に使用されているか確認するのに役立ちます。

Microsoft 365 トラフィックにクラウドベースのネットワークまたはセキュリティサービスを使用する場合は、ヘアピンの結果が評価され、Microsoft 365 のパフォーマンスへの影響が理解されていることを確認してください。これは、トラフィックがブランチオフィスと Microsoft グローバルネットワークピアリングポイントの数との関係で転送されるサービスプロバイダーの場所の数と場所、ISP と Microsoft とのサービスプロバイダーのネットワークピアリング関係の品質、およびサービスプロバイダーインフラストラクチャでのバックホールのパフォーマンスの影響を調べることで行うことができます。

Microsoft 365 エントリポイントを持つ多数の分散場所とエンドユーザーへの近接性により、プロバイダーネットワークが最適な Microsoft 365 ピアリング用に構成されていない場合、Microsoft 365 トラフィックをサードパーティのネットワークまたはセキュリティプロバイダーにルーティングすると、Microsoft 365 接続に悪影響を及ぼす可能性があります。

プロキシのバイパス、トラフィック検査デバイス、重複するセキュリティテクノロジを評価する

プロキシのバイパス、トラフィック検査デバイス、および重複するセキュリティテクノロジ。

エンタープライズのお客様は、特に Microsoft 365 にバインドされたトラフィックに対するネットワークセキュリティとリスクの削減方法を確認し、Microsoft 365 のセキュリティ機能を使用して、Microsoft 365 のネットワークトラフィックに対する割り込みの、パフォーマンスに影響を及ぼす、高価なネットワークセキュリティテクノロジへの依存を軽減する必要があります。

ほとんどのエンタープライズネットワークでは、プロキシ、TLS 検査、パケット検査、データ損失防止システムなどのテクノロジを使用して、インターネットトラフィックのネットワークセキュリティが適用されます。これらのテクノロジは、一般的なインターネット要求の重要なリスクを軽減しますが、Microsoft 365 のエンドポイントに適用すると、パフォーマンス、スケーラビリティ、エンドユーザーエクスペリエンスの品質が大幅に落ちることがあります。

Office 365 エンドポイント Web サービス

Microsoft 365 の管理者は、スクリプトまたは REST 呼び出しを使用して、Office 365 エンドポイントの Web サービスからエンドポイントの構造化リストを利用して、境界ファイアウォールやその他のネットワークデバイスの構成を更新することができます。これにより、Microsoft 365 にバインドされたトラフィックが特定され、適切に扱われ、一般的で不明なインターネット Web サイトにバインドされたネットワークトラフィックとは異なる方法で管理されます。 Microsoft 365 エンドポイント Web サービスの使用方法の詳細については、「Office 365 URL および IP アドレス範囲」を参照してください。

PAC (プロキシの自動構成) スクリプト

Microsoft 365 の管理者は、ユーザーのコンピューターに WPAD または GPO 経由で配信できる PAC (プロキシ自動構成) スクリプトを作成できます。 PAC スクリプトを使用して、Microsoft 365 要求のプロキシを WAN または VPN ユーザーからバイパスし、Microsoft 365 トラフィックが企業ネットワークを経由するのではなく、直接インターネット接続を使用できるようにします。

Microsoft 365 セキュリティ機能

Microsoft は、データセンターのセキュリティ、運用上のセキュリティ、Microsoft 365 サーバーとそれが示すネットワークエンドポイントに関するリスクの低減について、透明性を確保しています。 Microsoft 365 組み込みのセキュリティ機能を使用すると、Microsoft Purview データ損失防止、ウイルス対策、多要素認証、カスタマーロックボックス、Defender for Office 365、Microsoft 365 脅威インテリジェンス、Microsoft 365 Secure Score などのネットワークセキュリティリスクを軽減できます。Exchange Online Protectionとネットワーク DDOS セキュリティ。

Microsoft データセンターとグローバルネットワークのセキュリティの詳細については、「Microsoft トラストセンター」をご覧ください。

新しい Office 365 エンドポイントのカテゴリ

Office 365 エンドポイントは、さまざまなネットワークアドレスおよびサブネットのセットを表しています。エンドポイントは URL、IP アドレス、または IP 範囲である場合があり、一部のエンドポイントは特定の TCP/UDP ポートと共に一覧表示されます。 URL には、 account.office.net のような FQDN、または *.office365.com のようなワイルドカード URL を指定できます。

注:

ネットワーク内の Office 365 エンドポイントの場所は、Microsoft 365 テナントデータの場所に直接関連付けられていません。このため、お客様は、分散およびグローバルサービスとして Microsoft 365 を参照する必要があり、地理的な基準に基づいて Office 365 エンドポイントへのネットワーク接続をブロックしようとするべきではありません。

Microsoft 365 のトラフィックを管理するための以前のガイダンスでは、エンドポイントが 2 つのカテゴリ、必須と オプションに分類されていました。各カテゴリ内のエンドポイントでは、サービスの重要度に応じて異なる最適化が必要でした。多くのお客様は、同じネットワーク最適化をOffice 365 URL と IP アドレスの完全な一覧に適用することを正当化する上で課題に直面しました。

新しいモデルでは、エンドポイントが最適化、許可、既定の 3 つのカテゴリに分類されており、最高のパフォーマンス向上と投資収益率の実現のため、どこに集中してネットワーク最適化の取り組みを行うか、優先事項に基づいてポイントを絞っています。エンドポイントは、ネットワーク品質、ボリューム、シナリオのパフォーマンスエンベロープ、そして実装のしやすさに対する効果的なユーザーエクスペリエンスの感度に基づいて、上記のカテゴリに統合されます。推奨される最適化は、特定のカテゴリ内のすべてのエンドポイントに同じ方法で適用できます。

エンドポイントの最適化は、すべての Office 365 サービスへの接続に必須で、Office 365 の帯域幅、接続、データ量の 75% 以上に相当します。これらのエンドポイントは、ネットワークパフォーマンス、待機時間、可用性の影響を最も受けやすい Office 365 シナリオに該当します。すべてのエンドポイントは、Microsoft データセンターでホストされます。このカテゴリのエンドポイントに対する変更の割合は、その他 2 つのカテゴリのエンドポイントよりもはるかに低いことが予想されます。このカテゴリには、(10 程度の) 主要 URL のセットと、Exchange Online、SharePoint Online、Skype for Business Online、Microsoft Teams などの主要な Office 365 のワークロード専用の IP サブネットのセットが含まれています。

適切に定義された重要なエンドポイントの要約リストにより、これらの宛先に対する価値の高いネットワーク最適化をより迅速かつ簡単に計画し、実装できます。

Optimize エンドポイントの例としてはhttps://outlook.office365.com、、https://< tenant.sharepoint.com>、https://< tenant-my.sharepoint.com> などがあります。

最適化メソッドは次のとおりです。
- バイパストラフィックの傍受、TLS 復号化、ディープパケット検査、およびコンテンツフィルター処理を実行するネットワークデバイスとサービス上のエンドポイントを 最適化 します。
- 一般的なインターネットの閲覧に一般的に使用されるオンプレミスのプロキシデバイスおよびクラウドベースのプロキシサービスをバイパスします。
- これらエンドポイントの評価を、ネットワークインフラストラクチャおよび境界システムにより完全に信頼されるものとして優先します。
- WAN バックホールの削減や排除を優先し、可能な限りユーザー/ブランチに近い場所で、これらエンドポイントに対するインターネットベースの直接分散エグレスを円滑に提供します。
- 分割トンネリングを実装することで、VPN ユーザーがこれらのクラウドエンドポイントに直接接続できるようになります。
- DNS 名前解決により返された IP アドレスが、これらエンドポイントのルーティングエグレスパスと一致するようにします。
- SD-WAN 統合のこうしたエンドポイントを優先して、Microsoft グローバルネットワークの最も近いインターネットピアリングポイントに直接、最低限の待機時間のルーティングを行います。
特定のOffice 365サービスと機能への接続には許可エンドポイントが必要ですが、ネットワークのパフォーマンスと待機時間に対する影響は[最適化] カテゴリの場合ほど影響を受けません。これらのエンドポイントの全体的なネットワークフットプリントは、帯域幅と接続数の観点からもより小さくなります。これらのエンドポイントは Office 365 専用で、Microsoft データセンターにホストされています。これらは、マイクロサービスOffice 365とその依存関係の広範なセット (約 100 個の URL の順序) を表し、Optimize カテゴリのものよりも高いレートで変化することが予想されます。このカテゴリのすべてのエンドポイントが、定義済みの専用 IP サブネットに関連付けられているわけではありません。

許可エンドポイントのネットワーク最適化は、Office 365ユーザーエクスペリエンスを向上させることができますが、一部のお客様は、ネットワークの変更を最小限に抑えるために、これらの最適化の範囲をより狭くすることを選択する場合があります。

許可エンドポイントの例としては、https://*.protection.outlook.com やなどがありますhttps://accounts.accesscontrol.windows.net。

最適化メソッドは次のとおりです。
- バイパストラフィックの傍受、TLS 復号化、ディープパケット検査、およびコンテンツフィルター処理を実行するネットワークデバイスとサービスのエンドポイントを許可します。
- これらエンドポイントの評価を、ネットワークインフラストラクチャおよび境界システムにより完全に信頼されるものとして優先します。
- WAN バックホールの削減や排除を優先し、可能な限りユーザー/ブランチに近い場所で、これらエンドポイントに対するインターネットベースの直接分散エグレスを円滑に提供します。
- DNS 名前解決により返された IP アドレスが、これらエンドポイントのルーティングエグレスパスと一致するようにします。
- SD-WAN 統合のこうしたエンドポイントを優先して、Microsoft グローバルネットワークの最も近いインターネットピアリングポイントに直接、最低限の待機時間のルーティングを行います。
既定のエンドポイントは、最適化を必要としないOffice 365サービスと依存関係を表し、顧客ネットワークによって通常のインターネットにバインドされたトラフィックとして扱うことができます。このカテゴリの一部のエンドポイントは、Microsoft データセンターでホストされていない可能性があります。例には、とがhttps://appexsin.stb.s-msn.com含まれますhttps://odc.officeapps.live.com。

Office 365 のネットワーク最適化手法の詳細については、「Office 365 エンドポイントを管理する」の記事を参照してください。

境界ネットワークセキュリティとエンドポイントセキュリティの比較

従来のネットワークセキュリティの目標は、侵入および悪意のある脅威に対して企業のネットワーク境界を強化することです。組織が Microsoft 365 を採用すると、一部のネットワークサービスとデータが部分的また完全にクラウドに移行されます。ネットワークアーキテクチャの基本的な変更に関しては、このプロセスでは、新しい要因を考慮してネットワークセキュリティを再評価しなくてはなりません。

クラウドサービスが採用されると、ネットワークサービスとデータは、オンプレミスのデータセンターとクラウドとの間で分散され、境界セキュリティだけではもはや不十分となります。
リモートユーザーは、自宅、ホテル、コーヒーショップなどの制御されていない場所から、オンプレミスのデータセンターとクラウドの両方で企業のリソースに接続します。
専用のセキュリティ機能がクラウドサービスに組み込まれることが多くなると、既存のセキュリティシステムを補完したり置き換えたりする可能性があります。

Microsoft では、幅広い Microsoft 365 のセキュリティ機能を用意し、Microsoft 365 のデータおよびネットワークセキュリティの確保に役立つ、セキュリティ上のベストプラクティスを採用するための規範的なガイダンスを提供しています。推奨されるベストプラクティスは次のとおりです。

多要素認証 (MFA) を使用 するMFA は、パスワードを正しく入力した後に、ユーザーにスマートフォンでの電話、テキストメッセージ、またはアプリ通知の確認を要求することで、強力なパスワード戦略に追加の保護レイヤーを追加します。
Microsoft Defender for Cloud Appsの使用変則的な活動を追跡し、それに対処するためのポリシーを構成します。管理者が異常または危険なユーザーアクティビティ (大量のデータのダウンロード、複数のサインイン試行の失敗、不明または危険な IP アドレスからの接続など) を確認できるように、Microsoft Defender for Cloud Appsでアラートを設定します。
データ損失防止 (DLP) の構成 DLP を使用すると、機密データを特定し、ユーザーが誤ってまたは意図的にデータを共有することを回避するためのポリシーを作成できます。 DLP は、Exchange Online、SharePoint Online、OneDrive を含む Microsoft 365 で動作するので、ユーザーはワークフローを中断させずに準拠を維持できます。
顧客ロックボックスの使用 Microsoft 365 管理者はカスタマーロックボックスを使用して、Microsoft のサポートエンジニアがヘルプセッション中にデータにアクセスする方法を制御することができます。エンジニアが、トラブルシューティングや問題解決のためにデータにアクセスする必要がある場合は、カスタマーロックボックスを使用してアクセス要求を承認または拒否することができます。
Office 365 セキュリティスコアの使用 さらにリスクを軽減するために実行できる処理を推奨するセキュリティ分析ツールをです。セキュリティスコアは、Microsoft 365 の設定とアクティビティを調べ、Microsoft が確立した基準とそれらを比較します。ベストセキュリティプラクティスとの整合性に基づいてスコアを取得します。

セキュリティを強化する総合的なアプローチには、次の点を考慮する必要があります。

クラウドベースのセキュリティ機能と Office クライアントセキュリティ機能を適用して、境界のセキュリティからエンドポイントのセキュリティへと重点を移します。
- データセンターへのセキュリティ境界を縮小する
- Office または遠隔地にあるユーザーのデバイスに対して、同等の信頼を有効にする
- データの場所とユーザーの場所のセキュリティ強化に焦点を置く
- 管理されたユーザーのマシンに、エンドポイントのセキュリティにより高い信頼を得る
境界にのみ焦点を当てるのではなく、すべての情報セキュリティを総合的に管理する
- 信頼できるトラフィックによりセキュリティデバイスをバイパスし、管理されていないデバイスをゲスト Wi-fi ネットワークに分離して、WAN を再定義し、境界ネットワークセキュリティを強化する
- 企業 WAN エッジのネットワークセキュリティ要件を軽減する
- ファイアウォールなどの一部のネットワーク境界セキュリティデバイスは引き続き必要ではあるが、負荷が軽減される
- Microsoft 365 のトラフィックをローカルに送信する
「増分最適化」のセクションで説明されているように、改善には段階的に対処できます。一部の最適化手法では、ネットワークアーキテクチャに応じてコスト/ベネフィット比が向上する場合があり、organizationに最適な最適化を選択する必要があります。

Microsoft 365 のセキュリティとコンプライアンスの詳細については、「Microsoft 365 セキュリティ」と「Microsoft Purview」の記事を参照してください。

増分の最適化

この記事で前述した SaaS の理想的なネットワーク接続モデルを表しましたが、歴史的に複雑なネットワークアーキテクチャを持つ多くの大規模な組織では、これらの変更をすべて直接行うのは実用的ではありません。このセクションでは、Microsoft 365 のパフォーマンスと信頼性の向上に役立つ多くの増分変更について説明します。

Microsoft 365 トラフィックの最適化に使用する方法は、ネットワークトポロジと実装したネットワークデバイスによって異なります。多くの場所と複雑なネットワークセキュリティプラクティスを持つ大企業は、「 Microsoft 365 接続の原則」セクションに記載されている原則の大部分またはすべてを含む戦略を策定する必要があります。一方、小規模な組織では 1 つまたは 2 つしか考慮する必要がない場合があります。

最適化は、各方法を順次適用して、増分プロセスとして提案することが可能です。次の表に、最も多くのユーザーの待機時間と信頼性に影響を与える主な最適化方法を示します。

最適化の方法	説明	影響
ローカル DNS 解決とインターネットエグレス	各場所にローカル DNS サーバーをプロビジョニングし、Microsoft 365 の接続が可能な限りユーザーの場所に近いインターネットに送信されるようにします。	待機時間の最小化最も近い Microsoft 365 エントリポイントに信頼性の高い接続ができるよう改善する
地域のエグレスポイントを追加する	企業ネットワークに複数の場所があり、エグレスポイントが 1 つしかない場合は、地域の送信ポイントを追加して、ユーザーが最寄りの Microsoft 365 エントリポイントに接続できるようにします。	待機時間の最小化最も近い Microsoft 365 エントリポイントに信頼性の高い接続ができるよう改善する
プロキシおよび検査デバイスのバイパス	Microsoft 365 の要求を直接エグレスポイントに送信する PAC ファイルでブラウザーを構成します。検査を行わずに Microsoft 365 トラフィックを許可するよう、エッジルーターとファイアウォールを構成します。	待機時間の最小化ネットワークデバイスの負荷を減らす
VPN ユーザーの直接接続を有効にする	VPN ユーザーの場合、スプリットトンネリングを実装することで、Microsoft 365 接続を VPN トンネル経由ではなく、ユーザーのネットワークから直接行えるようにします。	待機時間の最小化最も近い Microsoft 365 エントリポイントに信頼性の高い接続ができるよう改善する
従来の WAN から SD-WAN への移行	SD-WAN (Software Defined Wide Area Networks) を使用すると、仮想マシン (VM) を使用した計算リソースの仮想化と同様に、従来の WAN ルーターと仮想アプライアンスを置き換えることで、WAN 管理が効率化され、パフォーマンスを向上させられます。	WAN トラフィックのパフォーマンスと管理性を向上させるネットワークデバイスの負荷を減らす