Gerenciar pontos de extremidade do Office 365

A maioria das organizações corporativas que possuem vários locais de escritório e uma WAN de conexão precisará de configuração para a conectividade de rede do Office 365. Você pode otimizar sua rede enviando todas as solicitações de rede Office 365 confiáveis diretamente por meio do firewall, ignorando toda a inspeção ou processamento no nível de pacote extra. Isso reduz a latência e os seus requisitos de capacidade de perímetro. Identificar o tráfego de rede do Office 365 é o primeiro passo para fornecer o desempenho ideal para seus usuários. Para obter mais informações, consulte Office 365 de conectividade de rede.

A Microsoft recomenda que você acesse os pontos Office 365 de rede e as alterações contínuas neles usando o endereço IP Office 365 e o serviço Web de URL.

Independentemente de como você gerencia um tráfego de rede vital do Office 365, o Office 365 requer conectividade com a Internet. Outros pontos de extremidade de rede onde a conectividade é necessária são listados em Pontos de extremidade adicionais não incluídos na URL do serviço Web e o endereço IP do Office 365.

A maneira como você usa os pontos de extremidade de rede do Office 365 dependerá da arquitetura de rede de sua empresa. Este artigo descreve várias maneiras pelas quais as arquiteturas de rede corporativas podem se integrar usando os endereços IP e URLs do Office 365. A maneira mais fácil de escolher em quais solicitações de rede confiar é usar dispositivos SD-WAN que dão suporte Office 365 configuração automatizada em cada um dos seus locais de escritório.

SD-WAN para saída de branch local de tráfego Office 365 rede vital

Em cada local da filial, você pode fornecer um dispositivo SD-WAN configurado para rotear o tráfego para Office 365 Otimizar categoria de pontos de extremidade, ou otimizar e permitir categorias, diretamente para a rede da Microsoft. Outro tráfego de rede, incluindo o tráfego no local do datacenter, o tráfego de sites gerais da Internet e o tráfego para os pontos de extremidade da categoria padrão do Office 365, são enviados para outro local onde você tem um perímetro de rede mais substancial.

A Microsoft está trabalhando com provedores SD-WAN para habilitar a configuração automatizada. Para saber mais, confira Programa de Parceiros de Redes do Office 365.

Use um arquivo PAC para o roteamento direto do tráfego vital do Office 365

Use arquivos PAC ou WPAD para gerenciar solicitações de rede associadas ao Office 365 mas que não tenham um endereço IP fornecido. Normalmente, solicitações de rede que são enviadas por meio de um dispositivo de proxy ou perímetro aumentam a latência. Embora a Interrupção e Inspeção de SSL crie a maior latência, outros serviços, como a autenticação de proxy e a pesquisa de reputação, podem causar um desempenho e uma experiência de usuário ruins. Além disso, esses dispositivos de perímetro de rede precisam de capacidade suficiente para processar todas as solicitações de conexão de rede. É recomendável ignorar seus dispositivos de inspeção ou proxy para solicitações de rede diretas do Office 365.

PowerShell Get-PacFile é um script do PowerShell que lê os pontos de extremidade de rede mais recentes da URL do serviço Web e o endereço IP do Office 365 e a cria uma amostra de um arquivo PAC. Você pode modificar o script para que ele seja integrado ao gerenciamento de arquivos de PAC existente.

Observação

Para obter mais informações sobre as considerações de segurança e desempenho de conectividade direta Office 365 pontos de extremidade, consulte Office 365 princípios de conectividade de rede.

Conectando-se ao Office 365 por meio de proxies e firewalls.

Figura 1: perímetro de rede corporativa simples

O arquivo PAC é implantado em navegadores da Web, no ponto 1, na Figura 1. Ao usar um arquivo PAC para o acesso direto ao tráfego de rede vital do Office 365, você também precisa permitir a conectividade para os endereços IP por trás dessas URLs no firewall de perímetro de rede. Isso é feito buscando os endereços IP das mesmas categorias de ponto de extremidade do Office 365 conforme especificado no arquivo PAC e criando ACLs de firewall baseadas nesses endereços. O firewall é o ponto 3 na Figura 1.

Se você optar por apenas direcionar o roteamento direto para os pontos de extremidade da categoria Otimizar, qualquer ponto de extremidade da categoria Permitir que for enviado para o servidor proxy deverão estar listados no servidor proxy para ignorar um processamento mais profundo. Por exemplo, Interrupção e Inspeção de SSL e autenticação de proxy são incompatíveis com os pontos de extremidade da categoria Otimizar e Permitir. O servidor proxy é o ponto 2 na Figura 1.

A configuração comum é permitir sem processar todo o tráfego de saída do servidor proxy para os endereços IP de destino do tráfego de rede do Office 365 que atinge o servidor proxy. Para saber mais sobre problemas com a Interrupção e Inspeção de SSL, confira usando dispositivos de rede de terceiros ou soluções no tráfego do Office 365.

Há dois tipos de arquivos PAC que o script Get-PacFile vai gerar.

Tipo Descrição
1
Enviar Otimizar o tráfego de ponto de extremidade direto e todo o conteúdo restante para o servidor proxy.
2
Enviar Otimizar e Permitir o tráfego de ponto de extremidade direto e todo o conteúdo restante para o servidor proxy. Esse tipo também pode ser usado para enviar todo o ExpressRoute com suporte para o tráfego do Office 365 a segmentos de rede do ExpressRoute e todo o conteúdo restante para o servidor proxy.

Veja um exemplo simples de como chamar o script do PowerShell:

Get-PacFile -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7

Há muitos parâmetros que você pode passar para o script:

Parâmetro Descrição
ClientRequestId
Isso é obrigatório e é uma GUID passada para o serviço Web que representa o computador cliente que faz a chamada.
Instance
A Office 365 de serviço, que usa como padrão Mundial. Isso também é passado para o serviço Web.
TenantName
Seu nome de locatário do Office 365. Transmitido para o serviço Web e usado como um parâmetro substituível em algumas URLs do Office 365.
Type
O tipo de Arquivo PAC de proxy que você deseja gerar.

Veja outro exemplo de como chamar o script do PowerShell com parâmetros adicionais:

Get-PacFile -Type 2 -Instance Worldwide -TenantName Contoso -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7

O servidor proxy ignora o processamento do tráfego de rede do Office 365

Onde os arquivos PAC não são usados para tráfego de saída direto, você ainda deseja ignorar o processamento no perímetro de rede configurando o servidor proxy. Alguns fornecedores de servidor proxy habilitaram a configuração automática deste, conforme descrito no Programa de Parceiros de Redes do Office 365.

Se você estiver fazendo isso manualmente, precisará obter os dados da categoria Otimizar e Permitir ponto de extremidade do Endereço IP do Office 365 e do Serviço Web de URL e configurar o servidor proxy para ignorar o processamento para eles. É importante evitar a Interrupção e Inspeção de SSL e autenticação de proxy para os pontos de extremidade da categoria Otimizar e Permitir.

Alterar o gerenciamento de endereços IP e URLs do Office 365

Além de selecionar a configuração apropriada para o perímetro de rede, é essencial que você adote um processo de gerenciamento de alterações para Office 365 de extremidade. Esses pontos de extremidade mudam regularmente e, se você não gerenciar as alterações, poderá acabar com usuários bloqueados ou com baixo desempenho depois que um novo endereço IP ou URL for adicionado.

As alterações nos endereços IP e URLs do Office 365 geralmente são publicadas no último dia de cada mês. Às vezes, uma mudança será publicada fora desse cronograma devido a requisitos operacionais, de suporte, ou de segurança.

Quando uma alteração é publicada que exige que você atue porque um endereço IP ou URL foi adicionado, você deve esperar receber um aviso de 30 dias a partir do momento em que publicarmos a alteração até que haja um serviço Office 365 nesse ponto de extremidade. Isso é refletido como a Data de Efetivação. Embora visamos esse período de notificação, nem sempre é possível devido aos requisitos operacionais, de suporte, ou de segurança. As alterações que não exigem ação imediata para manter a conectividade, como endereços IP removidos ou URLs ou alterações menos significativas, não incluem notificação antecipada. Nesses casos, nenhuma Data Efetiva será fornecida. Independentemente da notificação que é fornecida, listamos a data de ativação do serviço esperada para cada alteração.

Alterar notificação usando o serviço Web

Você pode usar a URL do serviço Web e endereço IP do Office 365 para obter uma notificação de alteração. Recomendamos que você chame o método Web /version uma vez por hora para verificar a versão dos pontos de extremidade que você está usando para se conectar ao Office 365. Se essa versão mudar quando comparada à versão que você está usando, você deverá obter os dados mais recentes do ponto de extremidade do método web /endpoints e, opcionalmente, obter as diferenças entre o método web /changes. Não é necessário chamar os métodos Web /endpoints ou /changes se não houver nenhuma alteração na versão encontrada.

Para obter mais informações, confira URL do serviço Web e o Endereço IP do Office 365.

Alterar notificação usando o serviço Web

O endereço IP e a URL do serviço Web do Office 365 fornecem um RSS feed no qual você pode se inscrever no Outlook. Há links para as URLs RSS em cada uma das páginas específicas da instância do serviço do Office 365 para os endereços IP e URLs. Para obter mais informações, confira URL do serviço Web e o Endereço IP do Office 365.

Alterar notificação e revisão de aprovação usando o Power Automate

Entendemos que você ainda pode exigir o processamento manual de alterações dos ponto de extremidade de rede que acontecem todo mês. Você pode usar o Power Automate para criar um fluxo que o notifica por email e, opcionalmente, executa um processo de aprovação para alterações quando Office 365 de rede têm alterações. Depois de concluir a revisão, você pode fazer com que o fluxo envie automaticamente por email as alterações para o seu firewall e sua equipe de gerenciamento do servidor proxy.

Para obter informações sobre um exemplo e um modelo do Power Automate, consulte Usar o Power Automate para receber um email para obter alterações Office 365 endereços IP e URLs.

Perguntas frequentes sobre pontos de extremidade de rede do Office 365

Consulte estas perguntas frequentes sobre Office 365 de rede.

Como enviar uma pergunta?

Clique no link que está no final da tela para indicar se este artigo foi útil ou não e envie mais perguntas. Monitoramos os comentários e atualizamos as perguntas com os questionamentos mais frequentes.

Como determinar o local do meu locatário?

O local do locatário é determinado da melhor forma usando nosso mapa de datacenters.

Estou me emparelhando adequadamente com a Microsoft?

Locais de emparelhamento são descritos em mais detalhes em emparelhamento com a Microsoft.

Com mais de 2.500 relações de emparelhamento de ISP globalmente e 70 pontos de presença, a passagem de sua rede para a nossa deve ser perfeita. Não custa nada gastar alguns minutos garantindo que a relação de emparelhamento de seu ISP seja ideal. Veja alguns exemplos de entregas de emparelhamento boas e não tão boas para nossa rede.

Não vejo as solicitações de rede para os endereços IP na lista publicada, eu preciso fornecer acesso a eles?

Só fornecemos endereços IP para os servidores do Office 365 para os quais você deve fazer o encaminhamento diretamente. Essa não é uma lista abrangente de todos os endereços IP para os quais você verá solicitações de rede. Você verá solicitações de rede para a Microsoft e endereços IP de terceiros, não publicados. Esses endereços IP são gerados dinamicamente ou gerenciados de maneira a impedir o aviso em tempo hábil quando eles mudam. Se o firewall não permitir o acesso com base em FQDNs para essas solicitações de rede, use um arquivo PAC ou WPAD para gerenciar as solicitações.

Há um IP associado ao Office 365 sobre o qual você deseja obter mais informações?

  1. Verifique se o endereço IP está incluído em um intervalo publicado maior usando uma calculadora CIDR como essas para o IPv4ouIPv6. Por exemplo, 40.96.0.0/13 inclui o endereço IP 40.103.0.1 apesar de 40.96 não corresponder a 40.103.
  2. Ver se um parceiro é responsável pelo IP com uma consulta whois. Se for de propriedade da Microsoft, pode ser um parceiro interno. Muitos pontos de extremidade de rede de parceiros são listados como pertencentes à categoria padrão, para a qual os endereços IP não são publicados.
  3. O endereço IP pode não fazer parte do Office 365 ou uma dependência. Office 365 publicação de ponto de extremidade de rede não inclui todos os pontos de extremidade de rede da Microsoft.
  4. Verifique o certificado. Com um navegador, conecte-se ao endereço IP usando HTTPS://< IP_ADDRESS> e verifique os domínios listados no certificado para entender quais domínios estão associados ao endereço IP. Se for um endereço IP de propriedade da Microsoft e não estiver na lista de endereços IP do Office 365, é provável que o endereço IP esteja associado a uma CDN da Microsoft, como MSOCDN.NET ou outro domínio da Microsoft sem informações de IP publicadas. Se você descobrir que o domínio do certificado é um domínio onde podemos solicitar que seja listado o endereço IP, informe-nos.

Algumas URLs do Office 365 apontam para registros CNAME em vez de registros A no DNS. O que preciso fazer com os registros CNAME?

Os computadores cliente precisam de um registro DNS A ou AAAA que inclua um ou mais endereços IP para se conectar a um serviço de nuvem. Algumas URLs incluídas no Office 365 mostram registros CNAME em vez de registros A ou AAAA. Esses registros CNAME são intermediários e pode haver vários em uma cadeia. Eles sempre serão eventualmente resolvidos para um registro A ou AAAA de um endereço IP. Por exemplo, considere a seguinte série de registros DNS, o que, por fim, é resolvido para o endereço IP IP_1:

serviceA.office.com -> CNAME: serviceA.domainA.com -> CNAME: serviceA.domainB.com -> A: IP_1

Esses redirecionamentos CNAME são uma parte normal do DNS e são transparentes para o computador cliente e transparentes para os servidores proxy. Eles são usados para balancear a carga, redes de distribuição de conteúdo, alta disponibilidade e mitigação de incidentes de serviço. A Microsoft não publica os registros CNAME intermediários, eles estão sujeitos a alterações a qualquer momento e você não precisa configurá-los conforme permitido no servidor proxy.

Um servidor proxy valida a URL inicial, que no exemplo acima é serviceA.office.com, e essa URL seria incluída Office 365 publicação. O servidor proxy solicita a resolução de DNS dessa URL para um endereço IP e receberá IP_1 novamente. Ele não valida os registros de redirecionamento CNAME intermediários.

Configurações embutida em código ou usando uma lista de permitidos com base em FQDNs indiretos Office 365 não são recomendadas, não são compatíveis com a Microsoft e são conhecidas por causar problemas de conectividade do cliente. As soluções DNS que bloqueiam o redirecionamento CNAME ou que, de outra forma, resolvem incorretamente Office 365 entradas DNS, podem ser resolvidas por meio de encaminhadores DNS com recursão DNS habilitada ou usando dicas de raiz DNS. Muitos produtos de perímetro de rede de terceiros integram nativamente o ponto de extremidade Office 365 recomendado para incluir uma lista de permitidos em sua configuração usando o endereço IP Office 365 e o serviço Web de URL.

Por que vejo nomes como nsatc.net ou akadns.net em nomes de domínio da Microsoft?

O Office 365 e outros serviços da Microsoft usam vários serviços de terceiros como Akamai e MarkMonitor para melhorar a experiência do Office 365. Para continuar a oferecer a melhor experiência possível, podemos alterar esses serviços no futuro. Domínios de terceiros podem hospedar conteúdo, como uma CDN, ou podem hospedar um serviço, como um serviço de gerenciamento de tráfego geográfico. Alguns dos serviços em uso no momento incluem:

MarkMonitor está em uso quando você vê solicitações que incluem *.nsatc.net. Esse serviço fornece proteção de nome de domínio e monitoramento para proteção contra comportamentos mal intencionados.

ExactTarget está em uso quando você vê solicitações para *.exacttarget.com. Esse serviço fornece gerenciamento de link de email e monitoramento contra comportamentos mal-intencionados.

Akamai é em uso quando você vê as solicitações que incluem um dos seguintes FQDNs. Esse serviço oferece DNS geográfica e serviços de rede de distribuição de conteúdo.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

Preciso ter a conectividade mínima possível para o Office 365

Como o Office 365 é um conjunto de serviços criado para funcionar pela internet, as promessas confiabilidade e disponibilidade se baseiam em muitos serviços de internet padrão que estão disponíveis. Por exemplo, serviços de internet padrão como DNS, CRL e CDNs devem estar acessíveis para usar o Office 365 exatamente como eles devem estar acessíveis para usar os serviços de internet mais modernos.

O pacote do Office 365 é dividido nas áreas principais de serviço. Eles podem ser habilitados seletivamente para conectividade e há uma área Comum, que é uma dependência para todos e sempre é necessária.

Área de Serviço Descrição
Exchange
Exchange Online e Proteção do Exchange Online
SharePoint
SharePoint Online e OneDrive for Business
Skype for Business Online e Microsoft Teams
Skype for Business Online e Microsoft Teams
Comum
Office 365 Pro Plus, Office em um navegador, Azure AD e outros pontos de extremidade de rede comuns

Além dos serviços básicos de internet, há serviços de terceiros que são usados somente para integrar funcionalidade. Embora sejam necessários para integração, eles são marcados como opcionais no artigo de pontos de extremidade do Office 365, o que significa que a funcionalidade principal do serviço continuará a funcionar se o ponto de extremidade não estiver acessível. Qualquer ponto de extremidade de rede necessário terá o atributo necessário definido como true. Qualquer ponto de extremidade de rede opcional terá o atributo necessário definido como false e o atributo de anotações detalhará a funcionalidade ausente que você deve esperar se a conectividade estiver bloqueada.

Se você estiver tentando usar o Office 365 e estiver encontrando serviços de terceiros que não estão acessíveis, convém garantir que todos os FQDNs marcados como obrigatórios ou opcionais neste artigo sejam permitidos por meio do proxy e do firewall.

Como bloqueio o acesso aos serviços do consumidor da Microsoft?

O recurso de restrições de locatário agora dá suporte ao bloqueio do uso de todos os aplicativos de consumidor da Microsoft (aplicativos MSA), como OneDrive, Hotmail e Xbox.com. Isso usa um cabeçalho separado para o ponto login.live.com ponto de extremidade. Para obter mais informações, consulte Usar restrições de locatário para gerenciar o acesso a aplicativos de nuvem SaaS.

O firewall exige endereços IP e não processa URLs. Como configurar o para o Office 365?

Office 365 não fornece endereços IP de todos os pontos de extremidade de rede necessários. Alguns são fornecidos somente como URLs e são categorizados como padrão. As URLs na categoria padrão que são necessárias devem ser permitidas por meio de um servidor proxy. Se você não tiver um servidor proxy, examine como configurou solicitações da Web para URLs que os usuários digitam na barra de endereços de um navegador da Web; o usuário também não fornece um endereço IP. As Office 365 URLs de categoria padrão que não fornecem endereços IP devem ser configuradas da mesma maneira.

URL do serviço Web e endereço IP do Office 365

Intervalos de IP do Datacenter do Microsoft Azure

Grupos de notícias públicos da Microsoft

Requisitos de infraestrutura de rede para o Microsoft Intune

ExpressRoute e Power BI

Intervalos de URLs e de endereços IP do Office 365

Como gerenciar o ExpressRoute para a conectividade do Office 365

Princípios de conectividade de rede do Office 365