Veelvoorkomende scenario's voor gesplitste VPN-tunneling voor Microsoft 365
Opmerking
Dit artikel maakt deel uit van een reeks artikelen over Microsoft 365-optimalisatie voor externe gebruikers.
- Voor een overzicht van het gebruik van VPN split tunneling voor het optimaliseren van Microsoft 365-connectiviteit voor externe gebruikers, zie Overzicht: VPN split tunneling voor Microsoft 365.
- Zie Vpn split tunneling implementeren voor Microsoft 365 voor gedetailleerde richtlijnen over het implementeren van VPN split tunneling.
- Zie Teams-mediaverkeer beveiligen voor VPN-gesplitste tunneling voor hulp bij het beveiligen van Teams-mediaverkeer in VPN-gesplitste tunneling.
- Zie Speciale overwegingen voor Stream en livegebeurtenissen in VPN-omgevingen voor meer informatie over het configureren van Stream- en livegebeurtenissen in VPN-omgevingen.
- Zie Microsoft 365 Performance Optimization voor China-gebruikers voor informatie over het optimaliseren van microsoft 365 wereldwijde tenantprestaties voor gebruikers in China.
In de onderstaande lijst ziet u de meest voorkomende VPN-scenario's in bedrijfsomgevingen. De meeste klanten werken traditioneel met model 1 (VPN Forced Tunnel). Deze sectie helpt u om snel en veilig over te stappen naar model 2, dat met relatief weinig inspanning haalbaar is en enorme voordelen heeft voor de netwerkprestaties en gebruikerservaring.
| Model | Beschrijving |
|---|---|
| 1. GEforceerde VPN-tunnel | 100% van het verkeer gaat naar de VPN-tunnel, inclusief on-premises, internet en alle O365/M365 |
| 2. GEforceerde VPN-tunnel met enkele uitzonderingen | VPN-tunnel wordt standaard gebruikt (standaardroutepunten naar VPN), met weinig belangrijke uitzonderingsscenario's die direct mogen gaan |
| 3. GEforceerde VPN-tunnel met brede uitzonderingen | VPN-tunnel wordt standaard gebruikt (standaardroutepunten naar VPN), met grote uitzonderingen die direct mogen gaan (zoals alle Microsoft 365, Alle Salesforce, Alle Zoom) |
| 4. VPN Selectieve tunnel | VPN-tunnel wordt alleen gebruikt voor op corpnet gebaseerde services. Standaardroute (internet en alle internetservices) gaat direct. |
| 5. Geen VPN | Een variatie van #2. In plaats van verouderde VPN worden alle corpnet-services gepubliceerd via moderne beveiligingsmethoden (zoals Zscaler ZPA, Azure Active Directory (Azure AD) Proxy/MCAS, enzovoort) |
1. GEforceerde VPN-tunnel
Het meest voorkomende startscenario voor de meeste zakelijke klanten. Er wordt een geforceerde VPN gebruikt, wat betekent dat 100% van het verkeer wordt omgeleid naar het bedrijfsnetwerk, ongeacht of het eindpunt zich in het bedrijfsnetwerk bevindt of niet. Extern (internet) gebonden verkeer, zoals Microsoft 365 of surfen op internet, wordt vervolgens weer vastgemaakt aan de on-premises beveiligingsapparatuur, zoals proxy's. In het huidige klimaat met bijna 100% van de gebruikers die op afstand werken, zorgt dit model voor een hoge belasting van de VPN-infrastructuur en zal het waarschijnlijk de prestaties van al het bedrijfsverkeer aanzienlijk belemmeren, waardoor de onderneming efficiënt kan werken in een tijd van crisis.
2. GEforceerde VPN-tunnel met een klein aantal vertrouwde uitzonderingen
Aanzienlijk efficiënter voor een onderneming om onder te werken. Met dit model kunnen enkele beheerde en gedefinieerde eindpunten die gevoelig zijn voor hoge belasting en latentie de VPN-tunnel omzeilen en rechtstreeks naar de Microsoft 365-service gaan. Dit verbetert de prestaties voor de ge offloade services aanzienlijk en vermindert ook de belasting van de VPN-infrastructuur, waardoor elementen waarvoor het nog steeds nodig is, met lagere conflicten voor resources kunnen werken. Het is dit model dat in dit artikel is gericht op het helpen bij de overgang naar, omdat eenvoudige, gedefinieerde acties snel kunnen worden uitgevoerd met tal van positieve resultaten.
3. GEforceerde VPN-tunnel met brede uitzonderingen
Hiermee wordt het bereik van model 2 uitgebreid. In plaats van alleen een kleine groep gedefinieerde eindpunten rechtstreeks te verzenden, wordt al het verkeer rechtstreeks naar vertrouwde services zoals Microsoft 365 en SalesForce verzonden. Dit vermindert de belasting van de zakelijke VPN-infrastructuur verder en verbetert de prestaties van de gedefinieerde services. Aangezien dit model waarschijnlijk meer tijd in beslag neemt om de haalbaarheid van en de implementatie te beoordelen, is het waarschijnlijk een stap die op een later tijdstip iteratief kan worden uitgevoerd zodra model twee is geïmplementeerd.
4. VPN selectieve tunnel
Hiermee wordt het derde model omgekeerd, omdat alleen verkeer dat wordt geïdentificeerd als het hebben van een bedrijfs-IP-adres via de VPN-tunnel wordt verzonden. Het internetpad is dus de standaardroute voor al het andere verkeer. Dit model vereist dat een organisatie goed op weg is naar Zero Trust in staat is om dit model veilig te implementeren. Houd er rekening mee dat dit model of enige variatie daarvan na verloop van tijd waarschijnlijk de noodzakelijke standaardinstelling wordt naarmate er meer services van het bedrijfsnetwerk en naar de cloud worden verplaatst.
Microsoft gebruikt dit model intern. U vindt meer informatie over de implementatie van VPN-split tunneling door Microsoft bij Running on VPN: How Microsoft is keeping its remote workforce connected.
5. Geen VPN
Een geavanceerdere versie van modelnummer 2, waarbij interne services worden gepubliceerd via een moderne beveiligingsbenadering of SDWAN-oplossing, zoals Azure AD Proxy, Defender voor Cloud Apps, Zscaler ZPA, enzovoort.
Verwante artikelen
Overzicht: VPN split tunneling voor Microsoft 365
Vpn split tunneling implementeren voor Microsoft 365
Teams-mediaverkeer beveiligen voor gesplitste VPN-tunneling
Speciale overwegingen voor Stream en livegebeurtenissen in VPN-omgevingen
Microsoft 365-prestatieoptimalisatie voor China-gebruikers
Microsoft 365-netwerkconnectiviteitsprincipes
Microsoft 365-netwerkverbindingen evalueren
Microsoft 365-netwerk en prestaties afstemmen
Uitvoeren op VPN: hoe Microsoft zijn externe werknemers verbonden houdt