Implementere VPN-delt tunnelering for Microsoft 365
Obs!
Denne artikkelen er en del av et sett med artikler som tar for seg Microsoft 365-optimalisering for eksterne brukere.
- Hvis du vil ha en oversikt over hvordan du bruker VPN-delt tunnelering til å optimalisere Microsoft 365-tilkobling for eksterne brukere, kan du se Oversikt: VPN-delt tunnelering for Microsoft 365.
- Hvis du vil ha en detaljert liste over scenarioer for delt VPN-tunnelering, kan du se vanlige scenarioer for delt tunnelering av VPN for Microsoft 365.
- Hvis du vil ha veiledning om hvordan du sikrer Teams medietrafikk i VPN-delte tunnelmiljøer, kan du se Sikre Teams medietrafikk for VPN-delt tunnelering.
- Hvis du vil ha informasjon om hvordan du konfigurerer Stream og direktesendte arrangementer i VPN-miljøer, kan du se Spesielle hensyn for Stream og direktesendte arrangementer i VPN-miljøer.
- Hvis du vil ha informasjon om optimalisering av microsoft 365-leierytelse på verdensbasis for brukere i Kina, kan du se Microsoft 365-ytelsesoptimalisering for Kina-brukere.
Microsofts anbefalte strategi for optimalisering av tilkobling for eksterne arbeidere er fokusert på raskt å redusere problemer og gi høy ytelse med noen få enkle trinn. Disse trinnene justerer den eldre VPN-tilnærmingen for noen definerte endepunkter som omgår flaskehalsede VPN-servere. En tilsvarende eller til og med overordnet sikkerhetsmodell kan brukes på forskjellige lag for å fjerne behovet for å sikre all trafikk ved utgående trafikk i firmanettverket. I de fleste tilfeller kan dette oppnås effektivt i løpet av timer og kan deretter skaleres til andre arbeidsbelastninger som kravbehov og tid tillater.
Implementer VPN-delt tunnelering
I denne artikkelen finner du de enkle trinnene som kreves for å overføre VPN-klientarkitekturen fra en VPN-tvunget tunnel til en VPN-tvunget tunnel med noen få klarerte unntak, VPN split tunnel model #2 i vanlige VPN-delte tunnelscenarioer for Microsoft 365.
Diagrammet nedenfor illustrerer hvordan den anbefalte løsningen for delt VPN-tunnel fungerer:
1. Identifisere endepunktene som skal optimaliseres
I artikkelen Om Nettadresser og IP-adresseområder i Microsoft 365 identifiserer Microsoft tydelig de viktigste endepunktene du trenger for å optimalisere og kategorisere dem som optimaliser. Det er for øyeblikket bare fire NETTADRESSER og 20 IP-delnett som må optimaliseres. Denne lille gruppen av endepunkter står for rundt 70 % – 80 % av trafikkvolumet til Microsoft 365-tjenesten, inkludert de sensitive endepunktene for ventetid, for eksempel for Teams-medier. I hovedsak er dette trafikken som vi må ta spesielt vare på, og er også trafikken som vil legge utrolig press på tradisjonelle nettverksbaner og VPN-infrastruktur.
URL-adresser i denne kategorien har følgende egenskaper:
- Er Microsoft-eide og administrerte endepunkter driftet på Microsoft-infrastruktur
- Få tilgang til IP-er
- Lav endringshastighet og forventes å forbli liten i antall (for øyeblikket 20 IP-delnett)
- Er båndbredde og/eller ventetidssensitive
- Kan ha nødvendige sikkerhetselementer i tjenesten i stedet for innebygd på nettverket
- Står for rundt 70–80 % av trafikkvolumet til Microsoft 365-tjenesten
Hvis du vil ha mer informasjon om Microsoft 365-endepunkter og hvordan de kategoriseres og administreres, kan du se Administrere Microsoft 365-endepunkter.
Optimaliser URL-adresser
Du finner de gjeldende nettadressene for optimalisering i tabellen nedenfor. Under de fleste tilfeller trenger du bare å bruke NETTADRESSE-endepunkter i en PAC-fil i nettleseren der endepunktene er konfigurert til å sendes direkte, i stedet for til proxyen.
| Optimaliser URL-adresser | Port/protokoll | Formål |
|---|---|---|
| https://outlook.office365.com | TCP 443 | Dette er en av de primære URL-adressene Outlook bruker til å koble til Exchange Online-serveren og har et høyt volum av båndbreddebruk og tilkoblingsantall. Lav nettverksventetid kreves for nettbaserte funksjoner, inkludert direktesøk, andre postbokskalendere, ledig/opptatt-oppslag, administrer regler og varsler, Exchange Online-arkiv, e-postmeldinger som forlater utboksen. |
| https://outlook.office.com | TCP 443 | Denne URL-adressen brukes for Outlook Online Web Access til å koble til Exchange Online server, og er sensitiv for nettverksventetid. Tilkobling er spesielt nødvendig for stor filopplasting og nedlasting med SharePoint Online. |
https://\<tenant\>.sharepoint.com |
TCP 443 | Dette er den primære URL-adressen for SharePoint Online og har bruk av høy båndbredde. |
https://\<tenant\>-my.sharepoint.com |
TCP 443 | Dette er den primære URL-adressen for OneDrive for Business og har høy båndbreddebruk og muligens høyt antall tilkoblinger fra OneDrive for Business synkroniseringsverktøyet. |
| Teams Media-IPer (ingen URL-adresse) | UDP 3478, 3479, 3480 og 3481 | Tildeling av relésøk og sanntidstrafikk. Dette er endepunktene som brukes for Skype for Business og Microsoft Teams Media-trafikk (samtaler, møter osv.). De fleste endepunktene gis når Microsoft Teams-klienten etablerer et anrop (og finnes i de nødvendige IP-ene som er oppført for tjenesten). Bruk av UDP-protokollen er nødvendig for optimal mediekvalitet. |
I eksemplene ovenfor bør tenanten erstattes med Microsoft 365-leiernavnet ditt. Contoso.onmicrosoft.com bruker for eksempel contoso.sharepoint.com og contoso-my.sharepoint.com.
Optimaliser IP-adresseområder
På tidspunktet for skriving av IP-adresseområder som disse endepunktene samsvarer med, er som følger. Det anbefales på det sterkeste at du bruker et skript, for eksempel dette eksemplet, Microsoft 365 IP- og URL-nettjenesten eller nettadressen/IP-siden for å se etter oppdateringer når du bruker konfigurasjonen og setter inn en policy for å gjøre det regelmessig. Hvis du bruker kontinuerlig tilgangsevaluering, kan du se variasjonen ip-adressevariasjon for kontinuerlig tilgangsevaluering. Ruting av optimaliserte IP-adresser gjennom en klarert IP eller VPN kan være nødvendig for å forhindre at blokker relatert til insufficient_claims eller øyeblikkelig IP-håndhevelseskontroll mislyktes i enkelte scenarioer.
104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.122.0.0/15
2. Optimaliser tilgangen til disse endepunktene via VPN
Nå som vi har identifisert disse kritiske endepunktene, må vi omdirigere dem bort fra VPN-tunnelen og tillate dem å bruke brukerens lokale Internett-tilkobling til å koble direkte til tjenesten. Måten dette oppnås på, varierer avhengig av vpn-produktet og maskinplattformen som brukes, men de fleste VPN-løsninger vil tillate en enkel konfigurasjon av policyen å bruke denne logikken. Hvis du vil ha informasjon om VPN-plattformspesifikk veiledning for delt tunnel, kan du se HOWTO-veiledninger for vanlige VPN-plattformer.
Hvis du vil teste løsningen manuelt, kan du kjøre følgende PowerShell-eksempel for å etterligne løsningen på rutetabellnivå. Dette eksemplet legger til en rute for hvert av Ip-delnettene for Teams Media i rutetabellen. Du kan teste teams medieytelse før og etter, og observere forskjellen i ruter for de angitte endepunktene.
Eksempel: Legge til Ip-delnett for Teams Media i rutetabellen
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = "52.120.0.0/14", "52.112.0.0/14", "13.107.64.0/18" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
I skriptet ovenfor er $intIndex indeksen for grensesnittet som er koblet til Internett (finn ved å kjøre get-netadapter i PowerShell, se etter verdien av ifIndex), og $gateway er standard gateway for dette grensesnittet (finn ved å kjøre ipconfig i en ledetekst eller (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop i PowerShell).
Når du har lagt til rutene, kan du bekrefte at rutetabellen er riktig ved å kjøre ruteutskrift i en ledetekst eller PowerShell. Utdataene skal inneholde rutene du la til, som viser grensesnittindeksen (22 i dette eksemplet) og gatewayen for dette grensesnittet (192.168.1.1 i dette eksemplet):
Hvis du vil legge til ruter for alle gjeldende IP-adresseområder i optimaliseringskategorien, kan du bruke følgende skriptvariasjon til å spørre Microsoft 365 IP- og URL-nettjenesten for gjeldende sett med Optimaliser IP-delnett og legge dem til i rutetabellen.
Eksempel: Legge til alle optimaliser delnett i rutetabellen
$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
Hvis du utilsiktet har lagt til ruter med feil parametere eller bare ønsker å tilbakestille endringene, kan du fjerne rutene du nettopp la til med følgende kommando:
foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}
VPN-klienten bør konfigureres slik at trafikk til Optimaliser-IP-er rutes på denne måten. Dette gjør det mulig for trafikken å bruke lokale Microsoft-ressurser, for eksempel Microsoft 365 Service Front Doors , for eksempel Azure Front Door , som leverer Microsoft 365-tjenester og tilkoblingsendepunkter så nær brukerne som mulig. Dette gjør at vi kan levere høye ytelsesnivåer til brukere uansett hvor de er i verden og drar full nytte av Microsofts globale nettverk i verdensklasse, som sannsynligvis er innen noen få millisekunder av brukernes direkte utgående trafikk.
HOWTO-veiledninger for vanlige VPN-plattformer
Denne delen inneholder koblinger til detaljerte veiledninger for implementering av delt tunnelering for Microsoft 365-trafikk fra de vanligste partnerne i dette området. Vi legger til flere veiledninger etter hvert som de blir tilgjengelige.
- Windows 10 VPN-klient: Optimalisere Microsoft 365-trafikk for eksterne arbeidere med den opprinnelige Windows 10 VPN-klienten
- Cisco Anyconnect: Optimaliser En tilkoblingsdelt tunnel for Office 365
- Palo Alto GlobalProtect: Optimalisere Microsoft 365-trafikk via VPN Split Tunnel Exclude Access Route
- F5 Networks BIG-IP APM: Optimalisere Microsoft 365-trafikk på ekstern tilgang via VPN-er når du bruker BIG-IP APM
- Citrix Gateway: Optimalisere Citrix Gateway VPN-delt tunnel for Office365
- Pulse Secure: VPN Tunneling: Slik konfigurerer du delt tunnelering for å ekskludere Microsoft 365-programmer
- Check Point VPN: Slik konfigurerer du Split Tunnel for Microsoft 365 og andre SaaS-programmer
Relaterte artikler
Oversikt: VPN-delt tunnelering for Microsoft 365
Vanlige scenarioer for delt VPN-tunnelering for Microsoft 365
Sikre Teams-medietrafikk for VPN-delt tunnelering
Spesielle hensyn for Stream og direktesendte arrangementer i VPN-miljøer
Ytelsesoptimalisering for Microsoft 365 for Kina-brukere
Prinsipper for nettverkstilkobling for Microsoft 365
Vurdering av Nettverkstilkobling for Microsoft 365
Nettverksjustering og ytelsesjustering for Microsoft 365
Kjører på VPN: Slik holder Microsoft sin eksterne arbeidsstyrke tilkoblet