Microsoft 365 の VPN 分割トンネリングを実装する

注意

この記事は、リモート ユーザーに対する Microsoft 365 の最適化に対処する一連の記事の一部です。

リモート ワーカーの接続を最適化するための Microsoft の推奨戦略は、問題を迅速に軽減し、いくつかの簡単な手順で高いパフォーマンスを提供することに重点を置きます。 これらの手順では、ボトルネックになっている VPN サーバーをバイパスするいくつかの定義済みのエンドポイントに対して従来の VPN アプローチを調整します。 同等、あるいはより優れたセキュリティ モデルを異なるレイヤに適用することで、企業ネットワークの出口ですべてのトラフィックを保護する必要がなくなります。 ほとんどの場合、これは数時間以内に効果的に実現でき、要件の需要と時間が許す限り、他のワークロードに対してスケーラブルです。

スプリット トンネル VPN の実装

この記事では、VPN クライアント アーキテクチャを VPN 強制トンネルから VPN 強制トンネル に移行するために必要な簡単な手順と、いくつかの信頼できる例外を含む VPN 強制トンネル への移行に必要な簡単な手順について説明します。Microsoft 365 の一般的な VPN 分割トンネリング シナリオでは、VPN 分割トンネル モデル #2 です。

次の図は、推奨している VPN スプリット トンネリング ソリューションのしくみを示しています。

分割トンネル VPN ソリューションの詳細。

1. 最適化するエンドポイントを決める

Microsoft 365 の URL と IP アドレス範囲に関する記事では、最適化に必要な主要なエンドポイントを明確に識別し、最適化 として分類します。 現在、最適化する必要がある URL は 4 つ、IP サブネットは 20 個だけです。 この少数のエンドポイント グループは、Teams メディアなどの待機時間に依存するエンドポイントを含め、Microsoft 365 サービスへのトラフィック量の約 70% から 80% を占めます。 基本的に、これは特別な注意を払う必要があるトラフィックであり、従来のネットワーク パスと VPN インフラストラクチャに大きく影響するトラフィックでもあります。

このカテゴリの URL には、次のような特性があります。

  • Microsoft インフラストラクチャにホストされている Microsoft が所有および管理するエンドポイントである
  • IP が提供されている
  • 変化率が低く、数も少ないと予想される (現在 20 の IP サブネット)
  • 帯域幅や遅延の影響を受けやすい
  • 必要なセキュリティ要素をネットワーク上で、インラインではなくサービスで提供することができる
  • Microsoft 365 サービスへのトラフィック量の約 70 ~ 80% を占める

Microsoft 365 エンドポイントとその分類と管理方法の詳細については、「 Microsoft 365 エンドポイントの管理」を参照してください。

URL を最適化する

現在の最適化 URL は次の表に記載されています。 ほとんどの状況では、エンドポイントがプロキシにではなく直接送信されるように設定されているブラウザ PAC ファイルの URL エンドポイントのみを使用する必要があります。

URL を最適化する ポート/プロトコル 用途
https://outlook.office365.com TCP 443 これは、Outlook が Exchange Online サーバーへの接続に使用する主要なURL の 1 つであり、帯域幅の使用数と接続数が大量になります。 クイック検索、その他のメールボックス 予定表、空き時間の検索、ルールと通知の管理、Exchange オンラインのアーカイブ、送信トレイからのメール送信などといったオンライン上の機能では、ネットワークの遅延を少なくしておく必要があります。
https://outlook.office.com TCP 443 このURLは Outlook Online Web Access が Exchange Online のサーバーに接続するために使用され、ネットワーク遅延の影響を受けやすくなっています。 SharePoint Online での大きなファイルのアップロードとダウンロードには、特に接続性が必要です。
<tenant>https://.sharepoint.com TCP 443 これは SharePoint Online のプライマリ URL であり、高帯域幅の使用量があります。
<tenant>https://-my.sharepoint.com TCP 443 これは OneDrive for Business の標準 URL で、帯域幅の使用率が高く、OneDrive for Business Sync ツールからの接続数が多くなることがあります。
Teams のメディア IP (URL なし) UDP 3478、3479、3480、および3481 Relay Discovery の割り当てとリアルタイム トラフィック。 これらは、Skype for Businessおよび Microsoft Teams Media トラフィック (通話、会議など) に使用されるエンドポイントです。 ほとんどのエンドポイントは、Microsoft Teams クライアントが発信を確立するときに提供されます(サービスのリストにある必要な IP 内に含まれています)。 メディアの品質を最適化するには、UDP プロトコルを使用する必要があります。

上記の例では、 テナント を Microsoft 365 テナント名に置き換える必要があります。 たとえば、 contoso.onmicrosoft.comcontoso.sharepoint.com と contoso-my.sharepoint.com を使用 します

IP アドレスの範囲を最適化する

これらのエンドポイントが対応する IP アドレス範囲を記述する時点では、次のようになります。 この例、Microsoft 365 IP および URL Web サービスURL/IP ページなどのスクリプトを使用して、構成を適用するときに更新プログラムを確認し、定期的に行うポリシーを設定することを 強くお 勧めします。

104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.120.0.0/14

2. VPN を介して、これらのエンドポイントへのアクセスを最適化する

こういった重要なエンドポイントを特定したら、それを VPN トンネルから逸らし、ユーザーのローカル インターネット接続を使用してサービスに直接接続できるようにする必要があります。 これを実現する方法は、使用する VPN 製品とマシンのプラットフォームによって異なりますが、ほとんどの VPN ソリューションでは、この手法を適用するポリシーを簡単に構成することができます。 VPN プラットフォーム固有のスプリット トンネリングを行う方法については、「一般 VPN プラットフォームの HOWTO ガイド」をご覧ください。

ソリューションを手動でテストしたい場合は、次の PowerShell の例を実行して、ルート テーブルからソリューションをエミュレートできます。 この例では、それぞれの Teams メディア IP サブネットのルートをルート テーブルに追加します。 Teams のメディアの前後でのパフォーマンスをテストをし、指定されたエンドポイントのルートの違いを観察できます。

例: Teams メディア IP サブネットをルート テーブルに追加する

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = "52.120.0.0/14", "52.112.0.0/14", "13.107.64.0/18" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

上記のスクリプトで、 $intIndex は、インターネットに接続されたインターフェースの索引 (PowerShellで get-netadapter を実行して検索し、ifIndex の値を探します) であり、 $gateway はそのインターフェースの既定のゲートウェイです (コマンド プロンプトの ipconfig か、 (Get-NetIPConfiguration | Foreach IPv4DefaultGateway).NextHop を PowerShellで実行し検索します)。

ルートを追加したら、コマンド プロンプトまたは PowerShell で「印刷のルーティング」を実行して、ルート テーブルが正しいことを確認できます。 出力には、追加したルートが含まれ、インターフェースのインデックス (この例では 22) とそのインターフェースのゲートウェイ (この例では 192.168.1.1) が表示されます。

印刷出力をルーティングします。

オプティマイズ カテゴリ 内のすべての現在の IP アドレス範囲のルートを追加するには、次のスクリプト バリエーションを使用して、現在の Optimize IP サブネットのセットについて Microsoft 365 IP および URL Web サービス にクエリを実行し、それらをルート テーブルに追加します。

例: すべての最適化サブネットをルート テーブルに追加する

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

うっかり誤ったパラメーターでルートを追加してしまった場合、あるいは単に変更を元に戻したい場合は、次のコマンドを使用して、追加したルートを削除できます。

foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

VPN クライアントの設定を行い、最適化 IP へのトラフィックがこの方法でルーティングされるようにしてください。 これにより、トラフィックは、Microsoft 365 サービスや接続エンドポイントを可能な限りユーザーの近くに提供する Azure Front Door などの Microsoft 365 Service Front Door などのローカル Microsoft リソースを利用できます。 これにより、世界中のユーザーに高いパフォーマンス レベルを提供し、 Microsoft の世界クラスのグローバル ネットワークを最大限に活用できます。これは、ユーザーの直接エグレスから数ミリ秒以内である可能性があります。

一般 VPN プラットフォームのHOWTO ガイド

このセクションでは、この分野で最も一般的なパートナーからの Microsoft 365 トラフィックの分割トンネリングを実装するための詳細なガイドへのリンクを提供します。 ガイドは利用可能になり次第、追加する予定です。

概要: Microsoft 365 の VPN 分割トンネリング

Microsoft 365 の一般的な VPN 分割トンネリング シナリオ

VPN 分割トンネリングのための Teams メディア トラフィックのセキュリティ保護

VPN 環境での Stream イベントとライブ イベントに関する特別な考慮事項

中国ユーザー向けの Microsoft 365 パフォーマンスの最適化

Microsoft 365 ネットワーク接続の原則

Microsoft 365 ネットワーク接続の評価

Microsoft 365 ネットワークとパフォーマンスのチューニング

セキュリティ専門家と IT による、現代のユニークなリモート ワーク シナリオで最新のセキュリティ管理を実現するための代替的な方法 (Microsoft セキュリティ チーム ブログ)

Microsoft での VPN のパフォーマンス強化: Windows 10 の VPN プロファイルを使用して自動接続を許可する

VPN で実行: Microsoft がリモート ワークの従業員をどのように接続させているか

Microsoft グローバル ネットワーク