Veelvoorkomende scenario's voor vpn-split tunneling voor Microsoft 365

Artikel
12/20/2023

Opmerking

Dit artikel maakt deel uit van een reeks artikelen over Microsoft 365-optimalisatie voor externe gebruikers.

Zie Overzicht: VPN split tunneling voor Microsoft 365 voor een overzicht van het gebruik van VPN split tunneling om Microsoft 365-connectiviteit te optimaliseren voor externe gebruikers.
Zie Vpn split tunneling implementeren voor Microsoft 365 voor gedetailleerde richtlijnen voor het implementeren van VPN split tunneling.
Zie Teams-mediaverkeer beveiligen voor vpn-gesplitste tunneling voor hulp bij het beveiligen van Teams-mediaverkeer voor het beveiligen van Teams-mediaverkeer in vpn-split tunneling.
Zie Speciale overwegingen voor Stream- en livegebeurtenissen in VPN-omgevingen voor informatie over het configureren van Stream- en livegebeurtenissen in VPN-omgevingen.
Zie Optimalisatie van Microsoft 365-prestaties voor Gebruikers in China voor meer informatie over het optimaliseren van microsoft 365-tenantprestaties voor gebruikers in China.

In de onderstaande lijst ziet u de meest voorkomende VPN-scenario's in bedrijfsomgevingen. De meeste klanten werken traditioneel met model 1 (VPN Forced Tunnel). Deze sectie helpt u snel en veilig over te stappen op model 2, dat met relatief weinig inspanning haalbaar is en enorme voordelen biedt voor netwerkprestaties en gebruikerservaring.

Model	Beschrijving
1. VPN-geforceerde tunnel	100% van het verkeer gaat naar een VPN-tunnel, inclusief on-premises, internet en alle O365/M365
2. VPN-geforceerde tunnel met enkele uitzonderingen	VPN-tunnel wordt standaard gebruikt (standaardroute verwijst naar VPN), met enkele, belangrijkste uitzonderingsscenario's die direct mogen gaan
3. VPN-geforceerde tunnel met brede uitzonderingen	VPN-tunnel wordt standaard gebruikt (standaardroute verwijst naar VPN), met brede uitzonderingen die direct mogen gaan (zoals alle Microsoft 365, Alle Salesforce, Alle Zoom)
4. VPN Selectieve tunnel	VPN-tunnel wordt alleen gebruikt voor services op basis van corpnet. De standaardroute (internet en alle internetservices) gaat direct.
5. Geen VPN	Een variant van #2. In plaats van verouderde VPN worden alle corpnet-services gepubliceerd via moderne beveiligingsmethoden (zoals Zscaler ZPA, Microsoft Entra ID Proxy/MCAS, enzovoort)

1. VPN-geforceerde tunnel

Het meest voorkomende startscenario voor de meeste zakelijke klanten. Er wordt een geforceerde VPN gebruikt, wat betekent dat 100% van het verkeer naar het bedrijfsnetwerk wordt geleid, ongeacht of het eindpunt zich in het bedrijfsnetwerk bevindt of niet. Extern (internet)verkeer, zoals Microsoft 365 of surfen op internet, wordt vervolgens weer vastgemaakt uit de on-premises beveiligingsapparatuur, zoals proxy's. In het huidige klimaat waarin bijna 100% van de gebruikers op afstand werkt, legt dit model daarom een hoge belasting op de VPN-infrastructuur en zal het waarschijnlijk de prestaties van al het bedrijfsverkeer en dus de onderneming aanzienlijk belemmeren om efficiënt te werken in een tijd van crisis.

VPN Geforceerde tunnel model 1.

2. VPN Geforceerde tunnel met een klein aantal vertrouwde uitzonderingen

Aanzienlijk efficiënter voor een onderneming om onder te werken. Met dit model kunnen enkele beheerde en gedefinieerde eindpunten die gevoelig zijn voor hoge belasting en latentie, de VPN-tunnel omzeilen en rechtstreeks naar de Microsoft 365-service gaan. Dit verbetert de prestaties voor de offloaded services aanzienlijk en vermindert ook de belasting van de VPN-infrastructuur, waardoor elementen die nog steeds vereisen dat deze werken met minder conflicten voor resources. Dit model richt zich in dit artikel op hulp bij de overgang, omdat hiermee eenvoudige, gedefinieerde acties snel kunnen worden uitgevoerd met tal van positieve resultaten.

Split Tunnel VPN-model 2.

3. VPN-geforceerde tunnel met brede uitzonderingen

Hiermee wordt het bereik van model 2 uitgebreid. In plaats van alleen een kleine groep gedefinieerde eindpunten direct te verzenden, verzendt het al het verkeer rechtstreeks naar vertrouwde services zoals Microsoft 365 en SalesForce. Dit vermindert de belasting van de zakelijke VPN-infrastructuur verder en verbetert de prestaties van de gedefinieerde services. Omdat dit model waarschijnlijk meer tijd in beslag neemt om de haalbaarheid van en implementatie te beoordelen, is het waarschijnlijk een stap die iteratief op een later tijdstip kan worden uitgevoerd zodra model twee succesvol is geïmplementeerd.

Split Tunnel VPN-model 3.

4. VPN selectieve tunnel

Hiermee wordt het derde model omgedraaid, waarbij alleen verkeer dat is geïdentificeerd als met een bedrijfs-IP-adres, wordt verzonden via de VPN-tunnel en dus het internetpad de standaardroute is voor al het andere. Voor dit model moet een organisatie goed op weg zijn om Zero Trust dit model veilig te kunnen implementeren. Houd er rekening mee dat dit model of een variant daarvan na verloop van tijd waarschijnlijk de noodzakelijke standaardwaarde wordt naarmate meer services van het bedrijfsnetwerk naar de cloud worden verplaatst.

Microsoft gebruikt dit model intern. U vindt meer informatie over de implementatie van Microsoft van VPN split tunneling op Uitvoeren op VPN: Hoe Microsoft zijn externe werknemers verbonden houdt.

Split Tunnel VPN-model 4.

5. Geen VPN

Een geavanceerdere versie van modelnummer 2, waarbij interne services worden gepubliceerd via een moderne beveiligingsbenadering of SDWAN-oplossing, zoals Microsoft Entra ID-proxy, Defender for Cloud Apps, Zscaler ZPA, enzovoort.

Split Tunnel VPN-model 5.