Krok nr 2. Optymalna sieć dla dzierżaw usługi Microsoft 365 dla przedsiębiorstw

Platforma Microsoft 365 dla przedsiębiorstw obejmuje aplikacje zwiększające produktywność w chmurze, takie jak Teams i Exchange Online, oraz Microsoft Intune, a także wiele usług tożsamości i zabezpieczeń platformy Microsoft Azure. Wszystkie te usługi oparte na chmurze polegają na zabezpieczeniach, wydajności i niezawodności połączeń z urządzeń klienckich w sieci lokalnej lub dowolnej lokalizacji w Internecie.

Aby zoptymalizować dostęp do sieci dla dzierżawy, należy:

• Zoptymalizuj ścieżkę między użytkownikami lokalnymi a najbliższą lokalizacją sieci globalnej firmy Microsoft.
• Zoptymalizuj dostęp do sieci globalnej firmy Microsoft dla użytkowników zdalnych korzystających z rozwiązania sieci VPN dostępu zdalnego.
• Użyj usługi Network Insights, aby zaprojektować obwód sieci dla lokalizacji biurowych.
• Zoptymalizuj dostęp do określonych zasobów hostowanych w witrynach programu SharePoint przy użyciu Office 365 sieci CDN.
• Skonfiguruj urządzenia proxy i urządzenia brzegowe sieci w celu obejścia przetwarzania zaufanego ruchu platformy Microsoft 365 przy użyciu listy punktów końcowych i zautomatyzowania aktualizowania listy w miarę wprowadzania zmian.

Pracownicy lokalni w przedsiębiorstwie

W przypadku sieci przedsiębiorstwa należy zoptymalizować środowisko użytkownika końcowego, włączając dostęp do sieci o najwyższej wydajności między klientami i najbliższymi punktami końcowymi platformy Microsoft 365. Jakość środowiska użytkownika końcowego jest bezpośrednio związana z wydajnością i czasem odpowiedzi aplikacji, z których korzysta użytkownik. Na przykład usługa Microsoft Teams opiera się na małych opóźnieniach, dzięki czemu połączenia telefoniczne użytkownika, konferencje i współpraca na udostępnionym ekranie są wolne od błędów.

Głównym celem projektu sieci powinno być zminimalizowanie opóźnienia przez skrócenie czasu rundy (RTT) z urządzeń klienckich do sieci globalnej firmy Microsoft, sieci publicznej sieci szkieletowej firmy Microsoft, która łączy wszystkie centra danych firmy Microsoft z małymi opóźnieniami i punktami wejścia aplikacji w chmurze o wysokiej dostępności, znanymi jako drzwi frontowe, rozsianych po całym świecie.

Oto przykład tradycyjnej sieci przedsiębiorstwa.

Na tej ilustracji biura oddziałów łączą się z biurem centralnym za pośrednictwem urządzeń sieci rozległej (WAN) i sieci szkieletowej sieci WAN. Dostęp do Internetu odbywa się za pośrednictwem urządzenia zabezpieczeń lub serwera proxy na krawędzi sieci w biurze centralnym i dostawcy usług internetowych. W Internecie globalna sieć microsoft ma szereg drzwi wejściowych w regionach na całym świecie. Organizacje mogą również używać lokalizacji pośrednich do dodatkowego przetwarzania pakietów i zabezpieczeń ruchu. Dzierżawa platformy Microsoft 365 organizacji znajduje się w globalnej sieci firmy Microsoft.

Problemy z tą konfiguracją usług w chmurze platformy Microsoft 365 to:

• W przypadku użytkowników w oddziałach ruch jest wysyłany do nielokalnych drzwi wejściowych, co zwiększa opóźnienia.
• Wysyłanie ruchu do lokalizacji pośrednich powoduje utworzenie sieciowych spinek do włosów, które wykonują zduplikowane przetwarzanie pakietów w zaufanym ruchu, zwiększając opóźnienia.
• Urządzenia brzegowe sieci wykonują niepotrzebne i zduplikowane przetwarzanie pakietów w zaufanym ruchu, zwiększając opóźnienia.

Optymalizacja wydajności sieci platformy Microsoft 365 nie musi być skomplikowana. Możesz uzyskać najlepszą możliwą wydajność, postępjąc zgodnie z kilkoma kluczowymi zasadami:

• Zidentyfikuj ruch sieciowy platformy Microsoft 365, czyli zaufany ruch kierowany do usług firmy Microsoft w chmurze.
• Zezwalaj na ruch sieciowy lokalnej gałęzi dla ruchu sieciowego platformy Microsoft 365 do Internetu z każdej lokalizacji, w której użytkownicy łączą się z platformą Microsoft 365.
• Unikaj sieciowych spinek do włosów.
• Zezwalaj ruchowi platformy Microsoft 365 na pomijanie serwerów proxy i urządzeń inspekcji pakietów.

Jeśli zaimplementujesz te zasady, uzyskasz sieć przedsiębiorstwa zoptymalizowaną pod kątem platformy Microsoft 365.

Na tej ilustracji biura oddziałów mają własne połączenie z Internetem za pośrednictwem zdefiniowanego programowo urządzenia WAN (SDWAN), które wysyła zaufany ruch platformy Microsoft 365 do regionalnej najbliższej bramy głównej. W centralnym biurze zaufany ruch platformy Microsoft 365 pomija urządzenia zabezpieczające lub proxy, a urządzenia pośrednie nie są już używane.

Poniżej przedstawiono sposób, w jaki zoptymalizowana konfiguracja rozwiązuje problemy z opóźnieniami tradycyjnej sieci przedsiębiorstwa:

• Zaufany ruch platformy Microsoft 365 pomija sieć szkieletową sieci WAN i jest wysyłany do lokalnych drzwi wejściowych dla wszystkich biur, co zmniejsza opóźnienia.
• Spinki sieciowe, które wykonują przetwarzanie zduplikowanych pakietów, są pomijane dla zaufanego ruchu platformy Microsoft 365, co zmniejsza opóźnienie.
• Urządzenia brzegowe sieci, które wykonują niepotrzebne i zduplikowane przetwarzanie pakietów, są pomijane dla zaufanego ruchu platformy Microsoft 365, co zmniejsza opóźnienia.

Aby uzyskać więcej informacji, zobacz Omówienie łączności sieciowej platformy Microsoft 365.

Pracownicy zdalni

Jeśli pracownicy zdalni używają tradycyjnego klienta sieci VPN do uzyskiwania dostępu zdalnego do sieci organizacji, sprawdź, czy klient sieci VPN ma obsługę tunelowania podzielonego. Bez tunelowania podzielonego cały ruch zdalny jest wysyłany przez połączenie sieci VPN, gdzie musi być przekazywany do urządzeń brzegowych organizacji, przetwarzany, a następnie wysyłany przez Internet. Poniżej znajduje się przykład.

Na tej ilustracji ruch platformy Microsoft 365 musi odbywać się pośrednio przez organizację, co może zostać przekazane do bramy głównej usługi Microsoft Global Network z dala od fizycznej lokalizacji klienta sieci VPN. Ta ścieżka pośrednia zwiększa opóźnienie ruchu sieciowego i zmniejsza ogólną wydajność.

W przypadku tunelowania podzielonego można skonfigurować klienta sieci VPN w celu wykluczenia określonych typów ruchu z wysyłania za pośrednictwem połączenia sieci VPN do sieci organizacji.

Aby zoptymalizować dostęp do zasobów w chmurze platformy Microsoft 365, skonfiguruj klientów sieci VPN tunelowania podzielonego w celu wykluczenia ruchu do kategorii Optymalizacja punktów końcowych platformy Microsoft 365 za pośrednictwem połączenia sieci VPN. Aby uzyskać więcej informacji, zobacz Office 365 kategorie punktów końcowych i listy punktów końcowych kategorii Optymalizacja pod kątem tunelowania podzielonego.

Oto wynikowy przepływ ruchu na potrzeby tunelowania podzielonego, w którym większość ruchu do aplikacji w chmurze platformy Microsoft 365 pomija połączenie sieci VPN.

Na tej ilustracji klient sieci VPN wysyła i odbiera kluczowy ruch usługi w chmurze platformy Microsoft 365 bezpośrednio przez Internet i do najbliższej bramy głównej sieci globalnej firmy Microsoft.

Aby uzyskać więcej informacji i wskazówek, zobacz Optimize Office 365 connectivity for remote users using VPN split tunneling (Optymalizowanie łączności Office 365 dla użytkowników zdalnych przy użyciu tunelowania podzielonego sieci VPN).

Korzystanie z usługi Network Insights (wersja zapoznawcza)

Szczegółowe informacje o sieci to metryki wydajności zebrane z dzierżawy usługi Microsoft 365, które ułatwiają projektowanie obwodów sieci dla lokalizacji biurowych. Każda analiza zawiera szczegółowe informacje na żywo dotyczące charakterystyki wydajności dla określonego problemu dla każdej lokalizacji geograficznej, w której użytkownicy lokalni uzyskują dostęp do dzierżawy.

Istnieją dwa szczegółowe informacje o sieci na poziomie dzierżawy, które mogą być wyświetlane dla dzierżawy:

• Przykładowe połączenia programu Exchange, na które mają wpływ problemy z łącznością
• Przykładowe połączenia programu SharePoint, na które mają wpływ problemy z łącznością

Są to szczegółowe informacje o sieci dla każdej lokalizacji biura:

• Ruch wychodzący sieci z zapartym dostępem
• Wykryto lepszą wydajność dla klientów w pobliżu
• Korzystanie z nieoptymalnego Exchange Online usługi front door
• Korzystanie z nieoptymalnej bramy usługi SharePoint Online
• Niska szybkość pobierania z front door programu SharePoint
• Ruch wychodzący sieci optymalny dla użytkownika z Chin

Ważna

Szczegółowe informacje o sieci, zalecenia dotyczące wydajności i oceny w centrum Administracja Microsoft 365 są obecnie w stanie wersji zapoznawczej. Jest ona dostępna tylko dla dzierżaw platformy Microsoft 365, które zostały zarejestrowane w programie wersji zapoznawczej funkcji.

Aby uzyskać więcej informacji, zobacz Microsoft 365 Network Insights.

Wydajność programu SharePoint z Office 365 sieci CDN

Chmurowa sieć dostarczania zawartości (CDN) pozwala skrócić czas ładowania, zaoszczędzić przepustowość i szybkość reakcji. Sieć CDN zwiększa wydajność, buforując zasoby statyczne, takie jak pliki graficzne lub wideo, bliżej żądanych przeglądarek, co pomaga przyspieszyć pobieranie i zmniejszyć opóźnienia. Wbudowane Office 365 Content Delivery Network (CDN) dołączone do programu SharePoint w Microsoft 365 E3 i E5 umożliwiają hostowanie zasobów statycznych w celu zapewnienia lepszej wydajności stron programu SharePoint.

Office 365 cdn składa się z wielu sieci CDN, które umożliwiają hostowanie zasobów statycznych w wielu lokalizacjach lub źródłach i obsługują je z globalnych sieci o dużej szybkości. W zależności od rodzaju zawartości, którą chcesz hostować w Office 365 sieci CDN, możesz dodać źródła publiczne, źródła prywatne lub oba te elementy.

Po wdrożeniu i skonfigurowaniu Office 365 cdn przekazuje zasoby z publicznych i prywatnych źródeł i udostępnia je w celu szybkiego dostępu do użytkowników znajdujących się w Internecie.

Aby uzyskać więcej informacji, zobacz Use the Office 365 CDN with SharePoint Online (Używanie Office 365 cdn z usługą SharePoint Online).

Lista zautomatyzowanych punktów końcowych

Aby klienci lokalni, urządzenia brzegowe i usługi analizy pakietów oparte na chmurze pomijały przetwarzanie zaufanego ruchu platformy Microsoft 365, należy skonfigurować je przy użyciu zestawu punktów końcowych (zakresów adresów IP i nazw DNS) odpowiadających usługom platformy Microsoft 365. Te punkty końcowe można ręcznie skonfigurować w zaporach i innych urządzeniach zabezpieczeń brzegowych, plikach PAC dla komputerów klienckich w celu obejścia serwerów proxy lub urządzeniach SD-WAN w oddziałach. Jednak punkty końcowe zmieniają się wraz z upływem czasu, co wymaga ciągłej ręcznej konserwacji list punktów końcowych w tych lokalizacjach.

Aby zautomatyzować zarządzanie listą i zmianami punktów końcowych platformy Microsoft 365 w plikach pac klienta i urządzeniach sieciowych, użyj usługi internetowej opartej na Office 365 adresach IP i adresach URL REST. Ta usługa pomaga lepiej identyfikować i rozróżniać ruch sieciowy platformy Microsoft 365, co ułatwia ocenę, konfigurowanie i bieżące korzystanie z najnowszych zmian.

Za pomocą programu PowerShell, języka Python lub innych języków można określić zmiany w punktach końcowych w czasie i skonfigurować pliki PAC i urządzenia sieciowe brzegowe.

Podstawowy proces to:

1. Użyj usługi internetowej adresów IP i adresów URL Office 365 oraz wybranego mechanizmu konfiguracji, aby skonfigurować pliki PAC i urządzenia sieciowe przy użyciu bieżącego zestawu punktów końcowych platformy Microsoft 365.
2. Uruchom codziennie cykliczne, aby sprawdzić zmiany w punktach końcowych lub użyć metody powiadomień.
3. Po wykryciu zmian ponownie zregeneruj i redystrybuuj plik PAC dla komputerów klienckich i wprowadź zmiany na urządzeniach sieciowych.

Aby uzyskać więcej informacji, zobacz Office 365 adres IP i adres URL usługi sieci Web.

Wyniki kroku 2

W przypadku dzierżawy platformy Microsoft 365 z optymalną siecią określono:

• Jak zoptymalizować wydajność sieci dla użytkowników lokalnych, dodając połączenia internetowe do wszystkich oddziałów i eliminując spinki sieciowe.
• Jak zaimplementować listę zautomatyzowanych zaufanych punktów końcowych dla plików PAC opartych na kliencie oraz urządzeń i usług sieciowych, w tym bieżących aktualizacji (najbardziej odpowiednich dla sieci przedsiębiorstwa).
• Jak obsługiwać dostęp pracowników zdalnych do zasobów lokalnych.
• Jak używać usługi Network Insights
• Jak wdrożyć Office 365 cdn.

Oto przykład organizacji przedsiębiorstwa i jej dzierżawy z optymalną siecią.

Na tej ilustracji dzierżawa dla tej organizacji przedsiębiorstwa ma:

• Lokalny dostęp do Internetu dla każdego oddziału za pomocą urządzenia SDWAN, które przekazuje zaufany ruch platformy Microsoft 365 do lokalnej bramy głównej.
• Brak spinek do włosów sieciowych.
• Urządzenia brzegowe zabezpieczeń i serwera proxy central office, które przekazują zaufany ruch platformy Microsoft 365 do lokalnej bramy frontowej.

Bieżąca konserwacja optymalnej sieci

Na bieżąco może być konieczne:

• Zaktualizuj urządzenia brzegowe i wdrożone pliki PAC pod kątem zmian w punktach końcowych lub sprawdź, czy zautomatyzowany proces działa prawidłowo.
• Zarządzaj zasobami w Office 365 sieci CDN.
• Zaktualizuj konfigurację tunelowania podzielonego w klientach sieci VPN pod kątem zmian w punktach końcowych.

Następny krok

Kontynuuj korzystanie z tożsamości , aby zsynchronizować konta i grupy lokalne oraz wymusić bezpieczne logowania użytkowników.