Sikre Teams-medietrafikk for VPN-delt tunnelering
Obs!
Denne artikkelen er en del av et sett med artikler som tar for seg Microsoft 365-optimalisering for eksterne brukere.
- Hvis du vil ha en oversikt over hvordan du bruker VPN-delt tunnelering til å optimalisere Microsoft 365-tilkobling for eksterne brukere, kan du se Oversikt: VPN-delt tunnelering for Microsoft 365.
- Hvis du vil ha detaljert veiledning om implementering av VPN-delt tunnelering, kan du se Implementer VPN-delt tunnelering for Microsoft 365.
- Hvis du vil ha en detaljert liste over scenarioer for delt VPN-tunnelering, kan du se vanlige scenarioer for delt tunnelering av VPN for Microsoft 365.
- Hvis du vil ha informasjon om hvordan du konfigurerer Stream og direktesendte arrangementer i VPN-miljøer, kan du se Spesielle hensyn for Stream og direktesendte arrangementer i VPN-miljøer.
- Hvis du vil ha informasjon om optimalisering av microsoft 365-leierytelse på verdensbasis for brukere i Kina, kan du se Microsoft 365-ytelsesoptimalisering for Kina-brukere.
Noen Microsoft Teams-administratorer kan kreve detaljert informasjon om hvordan samtaleflyter fungerer i Teams ved hjelp av en delt tunnelmodell og hvordan tilkoblinger sikres.
Konfigurasjon
Så lenge de nødvendige Optimaliser IP-delnettene for Teams-medier er riktig på plass i rutetabellen, returneres det lokale grensesnittet for Microsoft-mål i Microsoft IP-blokkene som er oppført ovenfor, når Teams kaller GetBestRoute-funksjonen for å bestemme hvilket lokalt grensesnitt som tilsvarer ruten den skal bruke for et bestemt mål.
Noe VPN-klientprogramvare tillater rutingmanipulering basert på nettadresse. Teams-medietrafikk har imidlertid ingen url-adresse knyttet til den, så kontroll av ruting for denne trafikken må gjøres ved hjelp av IP-delnett.
I enkelte scenarioer, som ofte ikke er relatert til Teams klientkonfigurasjon, krysser medietrafikken fortsatt VPN-tunnelen selv med de riktige rutene på plass. Hvis du støter på dette scenarioet, bør det være tilstrekkelig å bruke en brannmurregel til å blokkere Teams IP-delnett eller porter fra å bruke VPN.
Viktig
For å sikre at Teams medietrafikk rutes via ønsket metode i alle VPN-scenarier, må du sørge for at brukerne kjører Microsoft Teams klientversjon 1.3.00.13565 eller nyere. Denne versjonen inneholder forbedringer i hvordan klienten oppdager tilgjengelige nettverksbaner.
Signaltrafikk utføres over HTTPS og er ikke så ventetidssensitiv som medietrafikken og er merket som Tillat i URL-/IP-dataene, og kan dermed trygt rutes gjennom VPN-klienten hvis ønskelig.
Obs!
Microsoft Edge 96 og nyere støtter også VPN-delt tunnelering for node-til-node-trafikk. Dette betyr at kunder for eksempel kan dra nytte av VPN-delt tunnelering for Teams-nettklienter på Edge. Kunder som ønsker å konfigurere det for nettsteder som kjører på Edge, kan oppnå det ved å ta det ekstra trinnet for å deaktivere Edge WebRtcRespectOsRoutingTableEnabled-policyen .
Sikkerhet
Et vanlig argument for å unngå delte tunneler er at det er mindre sikkert å gjøre det, det vil si at all trafikk som ikke går gjennom VPN-tunnelen, ikke vil dra nytte av det krypteringsskjemaet som brukes på VPN-tunnelen, og er derfor mindre sikker.
Hovedtellerargumentet for dette er at medietrafikk allerede krypteres via Secure Real-Time Transport Protocol (SRTP), en profil av Real-Time Transport Protocol (RTP) som gir konfidensialitet, godkjenning og avspilling av angrepsbeskyttelse til RTP-trafikk. SRTP selv er avhengig av en tilfeldig generert øktnøkkel, som utveksles via TLS sikret signalkanal. Dette dekkes i detalj i denne sikkerhetsveiledningen, men den primære delen av interessen er mediekryptering.
Medietrafikk krypteres ved hjelp av SRTP, som bruker en øktnøkkel generert av en sikker tilfeldig tallgenerator og utveksles ved hjelp av den signalerende TLS-kanalen. I tillegg krypteres også medier som flyter i begge retninger mellom meklingsserveren og det interne neste mellomhoppet, ved hjelp av SRTP.
Skype for Business Online genererer brukernavn/passord for sikker tilgang til mediereléer over traversering ved hjelp av releer rundt NAT (TURN). Mediereléer utveksler brukernavnet/passordet via en TLS-sikret SIP-kanal. Det er verdt å merke seg at selv om en VPN-tunnel kan brukes til å koble klienten til bedriftsnettverket, må trafikken fortsatt flyte i sin SRTP-form når den forlater bedriftsnettverket for å nå tjenesten.
Informasjon om hvordan Teams reduserer vanlige sikkerhetsbekymringer, for eksempel tale- eller økt traverseringsverktøy for NAT - forsterkingsangrep (STUN), finnes i 5.1 Sikkerhetshensyn for implementatorer.
Du kan også lese om moderne sikkerhetskontroller i eksterne arbeidsscenarioer på alternative måter for sikkerhetsteknikere og IT for å oppnå moderne sikkerhetskontroller i dagens unike eksterne arbeidsscenarioer (Microsoft Security Team-blogg).
Testing
Når policyen er på plass, bør du bekrefte at den fungerer som forventet. Det finnes flere måter å teste banen på er riktig angitt til å bruke den lokale Internett-tilkoblingen:
Kjør Microsoft 365-tilkoblingstesten som vil kjøre tilkoblingstester for deg, inkludert sporingsruter som ovenfor. Vi legger også til VPN-tester i dette verktøyet som også skal gi ytterligere innsikt.
Et enkelt sporingspunkt til et endepunkt innenfor omfanget av den delte tunnelen skal vise banen som er tatt, for eksempel:
tracert worldaz.tr.teams.microsoft.comDeretter skal du se en bane via den lokale Internett-leverandøren til dette endepunktet som skal løses til en IP i Teams-områdene vi har konfigurert for delt tunnelering.
Ta et nettverksopptak ved hjelp av et verktøy, for eksempel Wireshark. Filtrer på UDP under en samtale, og du skal se trafikk som flyter til en IP i teamsoptimaliseringsområdet . Hvis VPN-tunnelen brukes for denne trafikken, vil ikke medietrafikken være synlig i sporingen.
Flere støttelogger
Hvis du trenger ytterligere data for å feilsøke, eller ber om hjelp fra Microsoft Kundestøtte, bør du få følgende informasjon for å fremskynde funnet en løsning. Microsoft Support's TSS Windows CMD-baserte universelle TroubleShooting Script-verktøysett kan hjelpe deg med å samle de relevante loggene på en enkel måte. Du finner verktøyet og instruksjonene for bruk på https://aka.ms/TssTools.
Relaterte artikler
Oversikt: VPN-delt tunnelering for Microsoft 365
Implementere VPN-delt tunnelering for Microsoft 365
Vanlige scenarioer for delt VPN-tunnelering for Microsoft 365
Spesielle hensyn for Stream og direktesendte arrangementer i VPN-miljøer
Ytelsesoptimalisering for Microsoft 365 for Kina-brukere
Prinsipper for nettverkstilkobling for Microsoft 365
Vurdering av Nettverkstilkobling for Microsoft 365
Nettverksjustering og ytelsesjustering for Microsoft 365
Kjører på VPN: Slik holder Microsoft sin eksterne arbeidsstyrke tilkoblet
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for