Protegendo o tráfego de mídia do Teams para túnel dividido de VPN
Observação
Este artigo faz parte de um conjunto de artigos que abordam a otimização do Microsoft 365 para utilizadores remotos.
- Para obter uma descrição geral da utilização do túnel dividido de VPN para otimizar a conectividade do Microsoft 365 para utilizadores remotos, consulte Descrição geral: túnel dividido de VPN para o Microsoft 365.
- Para obter orientações detalhadas sobre a implementação do túnel dividido de VPN, veja Implementar o túnel dividido de VPN para o Microsoft 365.
- Para obter uma lista detalhada dos cenários de túnel dividido de VPN, veja Cenários comuns de túnel dividido de VPN para o Microsoft 365.
- Para obter informações sobre como configurar Stream e eventos em direto em ambientes VPN, veja Considerações especiais sobre Stream e eventos em direto em ambientes VPN.
- Para obter informações sobre como otimizar o desempenho de inquilinos do Microsoft 365 em todo o mundo para utilizadores na China, consulte Otimização do desempenho do Microsoft 365 para utilizadores chineses.
Alguns administradores do Microsoft Teams podem precisar de informações detalhadas sobre como os fluxos de chamadas funcionam no Teams através de um modelo de túnel dividido e como as ligações são protegidas.
Configuração
Tanto para chamadas como para reuniões, desde que as sub-redes DE IP otimizadas necessárias para multimédia do Teams estejam corretamente implementadas na tabela de rotas, quando o Teams chamar a função GetBestRoute para determinar que interface local corresponde à rota que deve utilizar para um destino específico, a interface local será devolvida para destinos microsoft nos blocos IP da Microsoft listados acima.
Algum softwares clientes VPN permitem a manipulação de roteamento baseado na URL. No entanto, o tráfego de mídia do Teams não tem nenhuma URL associada a ele. Portanto, o controle do roteamento desse tráfego deve ser feito usando sub-redes IP.
Em determinados cenários, frequentemente não relacionados à configuração do cliente do Teams, o tráfego de mídia ainda atravessa o túnel VPN, mesmo com as rotas corretas no local. Se encontrar este cenário, a utilização de uma regra de firewall para bloquear as sub-redes ou portas IP do Teams de utilizar a VPN deve ser suficiente.
Importante
Para garantir que o tráfego de multimédia do Teams é encaminhado através do método pretendido em todos os cenários de VPN, certifique-se de que os utilizadores estão a executar a versão de cliente do Microsoft Teams 1.3.00.13565 ou superior. Esta versão inclui melhoramentos na forma como o cliente deteta caminhos de rede disponíveis.
A sinalização do tráfego é efetuada através de HTTPS e não é tão sensível à latência como o tráfego de multimédia e está marcada como Permitir nos dados de URL/IP e, por conseguinte, pode ser encaminhada com segurança através do cliente VPN, se assim o desejar.
Observação
O Microsoft Edge 96 e superior também suportam o túnel dividido de VPN para o tráfego ponto a ponto. Isto significa que os clientes podem beneficiar do túnel dividido de VPN para clientes Web do Teams no Edge, por exemplo. Os clientes que pretendam configurá-lo para sites em execução no Edge podem alcançá-lo ao dar o passo adicional para desativar a política WebRtcRespectOsRoutingTableEnabled do Edge.
Segurança
Um argumento comum para evitar túneis divididos é que é menos seguro fazê-lo, ou seja, qualquer tráfego que não percorra o túnel VPN não beneficiará de qualquer esquema de encriptação aplicado ao túnel VPN e, portanto, é menos seguro.
O principal contador-argumento para isso é que o tráfego da mídia já está criptografado por Protocolo de transporte seguro em tempo real (SRTP), um perfil do Protocolo RTP (protocolo de transporte em tempo real) que fornece confidencialidade, autenticação e proteção contra ataque de reprodução ao tráfego RTP. O SRTP conta com uma chave de sessão gerada aleatoriamente, que é trocada por meio do canal de sinalização protegido por TLS. Isso é abordado em muito detalhes neste guia de segurança, mas a seção principal de interesse é a criptografia de mídia.
O tráfego de mídia é criptografado usando o SRTP, que usa uma chave de sessão gerada por um gerador de número aleatório seguro e trocado usando o canal TLS de sinalização. Além disso, a mídia que flui em ambas as direções entre o servidor de mediação e seu próximo nó interno também é criptografada usando o SRTP.
O Skype for Business online gera nome de usuário/senhas para acesso seguro a retransmissores de mídia por Atravessamento usando retransmissões ao redor de NAT (TURN). As retransmissões de mídia trocam o nome de usuário/senha em um canal SIP protegido por TLS. Vale a pena notar que, apesar de um túnel VPN poder ser utilizado para ligar o cliente à rede empresarial, o tráfego ainda tem de fluir no respetivo formulário SRTP quando sair da rede empresarial para chegar ao serviço.
As informações sobre como o Teams mitiga preocupações de segurança comuns, tais como utilitários de voz ou utilitários do Session Traversal para ataques de amplificação NAT (STUN) podem ser encontradas na versão 5.1 Considerações de Segurança para Implementadores.
Você também pode saber mais sobre os controles de segurança modernos em cenários de trabalho remoto Maneiras alternativas para profissionais de segurança e TI alcançarem controles de segurança modernos nos cenários atuais de trabalho remoto (blog da equipe de segurança da Microsoft)
Testando
Assim que a política estiver implementada, deve confirmar que está a funcionar conforme esperado. Há várias maneiras de testar se a trajetória está corretamente configurada para usar a conexão de Internet local:
Execute o teste de conectividade do Microsoft 365 que irá executar testes de conectividade para si, incluindo rotas de rastreio, conforme acima. Também estamos a adicionar testes de VPN a estas ferramentas que também devem fornecer informações adicionais.
Um rastreio simples para um ponto final dentro do âmbito do túnel dividido deve mostrar o caminho seguido, por exemplo:
tracert worldaz.tr.teams.microsoft.comEm seguida, deverá ver um caminho através do ISP local para este ponto final que deve resolve a um IP nos intervalos do Teams que configurámos para dividir o túnel.
Faça uma captura de rede usando uma ferramenta como o Wireshark. Filtre o UDP durante uma chamada e você deverá ver o tráfego que flui para um IP no intervalo Otimizar do Teams. Se o túnel VPN estiver a ser utilizado para este tráfego, o tráfego de multimédia não será visível no rastreio.
Logs de suporte adicionais
Se você precisar de mais dados para solucionar problemas ou estiver solicitando assistência do suporte da Microsoft, obter as informações a seguir devem permitir que você encontre uma solução. O conjunto de ferramentas de Script de Resolução de Problemas universal baseada em Windows PowerShell do TSS do suporte da Microsoft pode ajudá-lo a recolher os registos relevantes de uma forma simples. A ferramenta e as instruções em utilização podem ser encontradas ao transferir TSS.zip aqui e informações adicionais em Introdução ao conjunto de ferramentas TroubleShootingScript (TSS).
Artigos relacionados
Descrição geral: túnel dividido de VPN para o Microsoft 365
Implementar o túnel dividido de VPN para o Microsoft 365
Cenários comuns de túnel dividido de VPN para o Microsoft 365
Considerações especiais sobre Stream e eventos em direto em ambientes VPN
Otimização do desempenho do Microsoft 365 para utilizadores da China
Princípios de Conectividade de Rede do Microsoft 365
Avaliando a conectividade de rede do Microsoft 365
Otimização da rede e do desempenho do Microsoft 365
Trabalhando no VPN: Como a Microsoft mantém sua força de trabalho remota conectada