Princípios de conectividade de rede do Microsoft 365

Este artigo se aplica tanto ao Microsoft 365 Enterprise quanto ao Office 365 Enterprise.

Antes de começar a planejar sua rede para a conectividade de rede do Microsoft 365, é importante entender os princípios de conectividade para gerenciar com segurança o tráfego do Microsoft 365 e obter o melhor desempenho possível. Este artigo ajuda você a entender as diretrizes mais recentes para otimizar com segurança a conectividade de rede do Microsoft 365.

As redes corporativas tradicionais são projetadas principalmente para fornecer aos usuários acesso a aplicativos e dados hospedados em datacenters operados pela empresa com forte segurança de perímetro. O modelo tradicional presume que os usuários acessem aplicativos e dados de dentro do perímetro de rede corporativa, em links WAN de filiais ou remotamente por conexões VPN.

A adoção de aplicativos SaaS como o Microsoft 365 move algumas combinações de serviços e dados de fora do perímetro de rede. Sem otimização, o tráfego entre usuários e aplicativos SaaS fica sujeito à latência introduzida pela inspeção de pacotes, hairpins de rede, conexões inadvertidas para pontos de extremidade geograficamente distantes e outros fatores. Você pode garantir o melhor desempenho e a confiabilidade da Microsoft 365 compreendendo e implementando as principais diretrizes de otimização.

Neste artigo, você aprenderá sobre:

Arquitetura do Microsoft 365

O Microsoft 365 é uma nuvem saaS (software como serviço) distribuída que fornece cenários de produtividade e colaboração por meio de um conjunto diversificado de microsserviços e aplicativos. Exemplos incluem Exchange Online, SharePoint Online, Skype for Business Online, Microsoft Teams, Proteção do Exchange Online, Office em um navegador e muitos outros. Embora aplicativos específicos do Microsoft 365 possam ter seus recursos exclusivos, pois se aplicam à rede do cliente e à conectividade com a nuvem, todos eles compartilham algumas principais entidades, metas e padrões de arquitetura. Esses princípios e padrões de arquitetura para conectividade são típicos para muitas outras nuvens saaS. Ao mesmo tempo, eles são diferentes dos modelos de implantação típicos das nuvens Platform-as-a-Service e Infrastructure-as-a-Service, como o Microsoft Azure.

Um dos recursos arquitetônicos mais significativos do Microsoft 365 (que muitas vezes é perdido ou mal interpretado por arquitetos de rede) é que é um serviço distribuído verdadeiramente global, no contexto de como os usuários se conectam a ele. O local do locatário do Microsoft 365 de destino é importante para entender a localidade de onde os dados do cliente são armazenados na nuvem. No entanto, a experiência do usuário com o Microsoft 365 não envolve a conexão diretamente com discos que contêm os dados. A experiência do usuário com o Microsoft 365 (incluindo desempenho, confiabilidade e outras características de qualidade importantes) envolve a conectividade por meio de uma porta frontal de serviço altamente distribuída que é ampliada entre centenas de locais da Microsoft em todo o mundo. Na maioria dos casos, a melhor experiência do usuário é obtida permitindo que a rede do cliente rote as solicitações de usuário para o ponto de entrada de serviço mais próximo do Microsoft 365. Isso é preferível em vez de se conectar ao Microsoft 365 por meio de um ponto de saída em um local ou região central.

Para a maioria dos clientes, os usuários do Microsoft 365 são distribuídos em vários locais. Para obter os melhores resultados, os princípios descritos neste documento devem ser analisados do ponto de vista scale-out (não scale-up). Ao mesmo tempo em que se concentra em otimizar a conectividade para o ponto de presença mais próximo da Rede Global da Microsoft, não para a localização geográfica do locatário do Microsoft 365. Em essência, isso significa que, embora os dados de locatário do Microsoft 365 possam ser armazenados em um local geográfico específico, a experiência do Microsoft 365 para esse locatário permanece distribuída. Ele pode estar presente em uma proximidade muito próxima (rede) a cada local de usuário final que o locatário tem.

Princípios de conectividade do Microsoft 365

A Microsoft recomenda os seguintes princípios para alcançar uma melhor conectividade e desempenho do Microsoft 365. Use estes princípios de conectividade do Microsoft 365 para gerenciar seu tráfego e obter o melhor desempenho ao se conectar ao Microsoft 365.

O objetivo principal no design de rede deve ser minimizar a latência, reduzindo o tempo de resposta (RTT) da sua rede para a Rede Global da Microsoft, o backbone de rede pública da Microsoft que se conecta a todos os datacenters da Microsoft com baixa latência e pontos de entrada de aplicativo em nuvem espalhados ao redor do mundo. Você pode saber mais sobre a Rede Global da Microsoft no Como a Microsoft cria uma rede global rápida e confiável.

Identificar e diferenciar o tráfego do Microsoft 365

Identificar o tráfego do Microsoft 365.

Identificar o tráfego de rede do Microsoft 365 é o primeiro passo para diferenciar esse tráfego do tráfego de rede genérico vinculado à Internet. A conectividade do Microsoft 365 pode ser otimizada implementando uma combinação de abordagens como otimização de rota de rede, regras de firewall, configurações de proxy do navegador. Além disso, ignorar dispositivos de inspeção de rede para determinados pontos de extremidade também é benéfico.

Diretrizes de otimização anterior do Microsoft 365 divididos em pontos de extremidade do Microsoft 365 em duas categorias, Necessário e Opcional. Como os pontos de extremidade foram adicionados para dar suporte a novos recursos e serviços do Microsoft 365, reorganizamos os pontos de extremidade do Microsoft 365 em três categorias: Otimizar, Permitir e Padrão. As diretrizes para cada categoria se aplicam a todos os pontos de extremidade da categoria, facilitando a compreensão e implementação das otimizações.

Para obter mais informações sobre as categorias e os métodos de otimização do ponto de extremidade do Microsoft 365, confira a seção Novas categorias de ponto de extremidade do Office 365.

Agora a Microsoft publica todos os pontos de extremidade do Microsoft 365 como um serviço Web e fornece orientação sobre como usar esses dados. Para obter mais informações sobre como buscar e trabalhar com pontos de extremidade do Microsoft 365, confira o artigo URLs e intervalos de endereços IP do Office 365.

Enviar conexões de rede de saída localmente

Conexões de rede de saída localmente.

O DNS local e a saída para a Internet são muito importantes para reduzir a latência da conexão e garantir que as conexões de usuários sejam feitas do ponto de entrada mais próximo para os serviços do Microsoft 365. Em uma topologia de rede complexa, é importante implementar o DNS local e a saída da Internet local juntos. Para obter mais informações sobre como o Microsoft 365 roteia as conexões do cliente para o ponto de entrada mais próximo, confira o artigo Conectividade do Cliente.

Antes do surgimento dos serviços de nuvem, como o Microsoft 365, a conectividade da Internet para usuários finais como fator de design na arquitetura de rede era relativamente simples. Quando os serviços de Internet e os sites são distribuídos em todo o mundo, a latência entre os pontos de saída corporativos e qualquer ponto de extremidade de destino é basicamente uma função de distância geográfica.

Em uma arquitetura de rede tradicional, todas as conexões de saída de Internet atravessam a rede corporativa e saem de um local central. À medida que as ofertas de nuvem da Microsoft amadureceram, uma arquitetura de rede distribuída voltada para a Internet se tornou fundamental para o suporte a serviços de nuvem sensível à latência. A Rede Global da Microsoft foi projetada para atender aos requisitos de latência com a infraestrutura de Porta Frontal do Serviço Distribuído, uma malha dinâmica de pontos de entrada globais que roteia as conexões do serviço de nuvem de entrada para o ponto de entrada mais próximo. Isso se destina a reduzir o comprimento da "última quilometragem" para os clientes da nuvem da Microsoft, reduzindo a rota entre o cliente e a nuvem com eficácia.

As WANs corporativas geralmente são projetadas para transportar o tráfego de rede para o escritório central da empresa para inspeção antes da saída para a Internet, geralmente por um ou mais servidores proxy. O diagrama a seguir ilustra essa topologia de rede.

Modelo tradicional de rede corporativa.

Como o Microsoft 365 é executado na Microsoft Global Network, que inclui servidores front-end em todo o mundo, muitas vezes há um servidor front-end perto da localização do usuário. Fornecendo acesso à Internet local e configurando servidores DNS internos para fornecer a resolução de nomes locais para pontos de extremidade do Microsoft 365, o tráfego de rede destinado ao Microsoft 365 pode se conectar aos servidores front-end do Microsoft 365 o mais próximo possível do usuário. O diagrama a seguir mostra um exemplo de uma topologia de rede que permite que os usuários que se conectam de main escritórios, filiais e locais remotos sigam a rota mais curta até o ponto de entrada mais próximo do Microsoft 365.

Modelo de rede WAN com pontos de egresso regionais.

Encurtar o caminho de rede para os pontos de entrada do Microsoft 365 dessa forma pode melhorar o desempenho da conectividade e a experiência do usuário final no Microsoft 365. Ele também pode ajudar a reduzir o efeito de alterações futuras na arquitetura de rede no desempenho e confiabilidade do Microsoft 365.

Além disso, as solicitações DNS poderão apresentar a latência se o servidor DNS de resposta estiver distante ou ocupado. Você pode minimizar a latência de resolução de nomes provisionando servidores DNS locais em locais de branch e certificando-se de que eles estão configurados para armazenar em cache registros DNS adequadamente.

Embora a saída regional possa funcionar bem para o Microsoft 365, o modelo de conectividade ideal seria sempre fornecer saída de rede na localização do usuário, independentemente de estar na rede corporativa ou locais remotos, como casas, hotéis, cafeterias e aeroportos. Este modelo de saída direta local é representado no diagrama a seguir.

Arquitetura de rede de saída local.

As empresas que adotaram o Microsoft 365 podem tirar proveito da arquitetura de Porta Frontal do Serviço Distribuído da Rede Global da Microsoft, garantindo que as conexões com o usuário da Microsoft 365 adotem a rota mais curta possível para o ponto de entrada mais próximo da Rede Global da Microsoft. A arquitetura de rede de saída local faz isso, permitindo que o tráfego do Microsoft 365 seja roteado pela saída mais próxima, independentemente do local do usuário.

A arquitetura de saída local tem os seguintes benefícios em relação ao modelo tradicional:

  • Oferece o melhor desempenho do Microsoft 365, melhorando o comprimento da rota. as conexões de usuários finais são roteadas dinamicamente para o ponto de entrada mais próximo do Microsoft 365 pela infraestrutura de Porta Frontal do Serviço Distribuído.
  • Reduz a carga da infraestrutura de rede corporativa, permitindo a saída local.
  • Protege as conexões em ambas as extremidades usando a segurança do ponto de extremidade do cliente e os recursos de segurança na nuvem.

Evitar hairpins de rede

Evitar hairpins.

Como regra geral, a rota mais curta e direta entre o usuário e o ponto de extremidade mais próximo do Microsoft 365 oferece o melhor desempenho. Um hairpin de rede ocorre quando o tráfego WAN ou VPN vinculado a um destino específico é direcionado primeiro para outro local intermediário (como a pilha de segurança, corretor de acesso à nuvem ou o gateway Web baseado em nuvem), introduzindo latência e potencial redirecionamento para um ponto de extremidade geograficamente distante. Os grampos de rede também são causados por ineficiências de roteamento/emparelhamento ou pesquisas DNS suboptimais (remotas).

Para garantir que a conectividade do Microsoft 365 não esteja sujeita a grampos de rede mesmo no caso de saída local, marcar se o ISP usado para fornecer saída de Internet para o local do usuário tem uma relação de emparelhamento direta com a Rede Global da Microsoft próxima a esse local. Você também pode querer configurar o roteamento de saída para enviar tráfego confiável do Microsoft 365 diretamente. Isso se opõe ao proxy ou ao túnel por meio de um fornecedor de segurança de rede baseado em nuvem ou de terceiros que processa o tráfego vinculado à Internet. A resolução de nomes DNS local de pontos de extremidade do Microsoft 365 ajuda a garantir que, além do roteamento direto, os pontos de entrada mais próximos do Microsoft 365 estejam sendo usados para as conexões de usuário.

Se você usar serviços de segurança ou rede baseados em nuvem para o tráfego do Microsoft 365, verifique se o resultado do grampo de cabelo será avaliado e seu efeito no desempenho do Microsoft 365 será compreendido. Isso pode ser feito examinando o número e os locais dos locais do provedor de serviços por meio dos quais o tráfego é encaminhado em relação ao número de suas filiais e pontos de emparelhamento da Microsoft Global Network, a qualidade da relação de emparelhamento de rede do provedor de serviços com seu ISP e Microsoft e o efeito de desempenho do backhauling na infraestrutura do provedor de serviços.

Devido ao grande número de locais distribuídos com pontos de entrada do Microsoft 365 e sua proximidade com usuários finais, rotear o tráfego do Microsoft 365 para qualquer rede ou provedor de segurança de terceiros pode ter um efeito adverso nas conexões do Microsoft 365 se a rede do provedor não estiver configurada para o emparelhamento ideal do Microsoft 365.

Avaliar ignorar proxies, dispositivos de inspeção de tráfego e tecnologias de segurança duplicadas

Ignorar proxies, dispositivos de inspeção de tráfego e tecnologias de segurança duplicadas.

Os clientes empresariais devem revisar seus métodos de redução de risco e de segurança de rede especificamente para o tráfego vinculado ao Microsoft 365 e usar os recursos de segurança do Microsoft 365 para reduzir sua dependência de tecnologias de segurança de rede intrusivas, caras e com impacto no desempenho para o tráfego de rede do Microsoft 365.

A maioria das redes empresariais impõe a segurança de rede para o tráfego da Internet usando tecnologias como proxies, inspeção TLS, inspeção de pacotes e sistemas de prevenção de perda de dados. Essas tecnologias oferecem redução de risco importantes para solicitações de Internet genéricas, mas podem reduzir significativamente o desempenho, a capacidade de expansão e a qualidade da experiência do usuário final quando aplicada aos pontos de extremidade do Microsoft 365.

Serviços Web dos Pontos de extremidade do Office 365

Os administradores do Microsoft 365 podem usar um script ou uma chamada REST para consumir uma lista estruturada de pontos de extremidade do serviço Web de pontos de extremidade do Office 365 e atualizar as configurações de firewalls de perímetro e outros dispositivos de rede. Isso garante que o tráfego vinculado ao Microsoft 365 seja identificado, tratado adequadamente e gerenciado de forma diferente do tráfego de rede associado a sites genéricos e muitas vezes desconhecidos da Internet. Para saber mais sobre como usar o serviço Web de pontos de extremidade do Office 365, confira o artigo URLs e intervalos de endereços IP do Office 365.

Scripts de PAC (Configuração Automática de Proxy)

Os administradores do Microsoft 365 podem criar scripts PAC (Configuração Automática de Proxy) que podem ser entregues aos computadores dos usuários por meio de WPAD ou de GPO. Os scripts PAC podem ser usados para ignorar os proxies de solicitações do Microsoft 365 de usuários de WAN ou VPN, permitindo que o tráfego do Microsoft 365 use conexões diretas com a Internet em vez de atravessar a rede corporativa.

Recursos de segurança do Microsoft 365

A Microsoft é transparente sobre a segurança do datacenter, a segurança operacional e a redução de riscos em relação aos servidores da Microsoft 365 e aos pontos de extremidade de rede que eles representam. Os recursos de segurança internos do Microsoft 365 estão disponíveis para reduzir o risco de segurança de rede, como Prevenção Contra Perda de Dados do Microsoft Purview, Antivírus, autenticação multifator, Customer Lockbox, Defender para Office 365, Microsoft 365 Threat Intelligence, Microsoft 365 Secure Score, Proteção do Exchange Online e Segurança DDOS de Rede.

Para obter mais informações sobre o datacenter da Microsoft e a segurança da Rede Global, confira Central de Confiabilidade da Microsoft.

Novas categorias de pontos de extremidade do Office 365

Os pontos de extremidade do Office 365 representam um conjunto variado de endereços de rede e sub-redes. Os pontos de extremidade podem ser URLs, endereços IP ou intervalos IP e alguns pontos de extremidade são listados com portas TCP/UDP específicas. As URLs podem ser um FQDN como account.office.net ou uma URL curinga como *.office365.com.

Observação

Os locais dos pontos de extremidade do Office 365 dentro da rede não estão diretamente relacionados à localização dos dados do locatário do Microsoft 365. Por esse motivo, os clientes devem examinar o Microsoft 365 como um serviço distribuído e global e não devem tentar bloquear as conexões de rede para os pontos de extremidade do Office 365 com base nos critérios geográficos.

Nas diretrizes anteriores para o gerenciamento de tráfego do Microsoft 365, os pontos de extremidade eram organizados em duas categorias, Necessário e Opcional. Os pontos de extremidade dentro de cada categoria exigiam otimização diferente, dependendo da criticidade do serviço. Muitos clientes enfrentaram desafios ao justificar o aplicativo das mesmas otimizações de rede para a lista completa de URLs Office 365 e endereços IP.

No novo modelo, os pontos de extremidade são separados em três categorias, Otimizar, Permitire Padrão, fornecendo uma tabela dinâmica baseada em prioridade sobre onde você deve focar os esforços de otimização de rede para obter os melhores aperfeiçoamentos de desempenho e retorno sobre o investimento. Os pontos de extremidade são consolidados nas categorias acima, com base na sensibilidade da experiência efetiva do usuário à qualidade da rede, volume e envelope de desempenho dos cenários e facilidade de implementação. As otimizações recomendadas podem ser aplicadas da mesma forma em todos os pontos de extremidade de uma determinada categoria.

  • Otimizar os pontos de extremidades é necessário para a conectividade com todos os serviços do Microsoft 365 e representa mais de 75% da largura de banda, conexões e volume de dados do Office 365. Esses pontos de extremidade representam os cenários do Office 365 mais confidenciais para o desempenho, latência e disponibilidade da rede. Todos os pontos de extremidade estão hospedados em datacenters da Microsoft. A taxa de alteração para os pontos de extremidade nesta categoria deve ser muito menor do que para os pontos de extremidade nas outras duas categorias. Essa categoria inclui um pequeno conjunto (na ordem de aproximadamente 10) de URLs principais e um conjunto de sub-redes IP dedicadas às cargas de trabalho principais do Office 365, como o Exchange Online, o SharePoint Online, o Skype for Business Online e o Microsoft Teams.

    Uma lista condensada de pontos de extremidade críticos muito definidos deve ajudar você a planejar e implementar otimizações de rede de alto valor para esses destinos de maneira mais rápida e fácil.

    Exemplos de pontos de extremidade otimizar incluem https://outlook.office365.com, https://< tenant.sharepoint.com> e https://< tenant-my.sharepoint.com>.

    Os métodos de otimização incluem:

    • Ignore Otimizar pontos de extremidade em dispositivos de rede e serviços que executam interceptação de tráfego, descriptografia TLS, inspeção de pacotes profundos e filtragem de conteúdo.
    • Ignorar os dispositivos de proxy local e os serviços de proxy baseados na nuvem geralmente usados para navegação na Internet genérica.
    • Priorizar a avaliação desses pontos de extremidade como totalmente confiável por sua infraestrutura de rede e pelos sistemas de perímetro.
    • Priorizar a redução ou a eliminação de backhaul da WAN e facilite o envio direto da saída baseada na Internet para esses pontos de extremidade, o mais próximo possível do que os usuários/filiais.
    • Facilitar a conectividade direta a esses pontos de extremidade de nuvem para usuários VPN, implementando o tunelamento dividido.
    • Certificar-se de que os endereços IP retornados pela resolução de nome DNS correspondam à trajetória de saída de roteamento para esses pontos de extremidade.
    • Priorize esses pontos de extremidade para a integração do SD-WAN para roteamento direto de latência mínima para o ponto de acesso à Internet mais próximo da rede global da Microsoft.
  • Permitir pontos de extremidade são necessários para que a conectividade Office 365 serviços e recursos específicos, mas não sejam tão sensíveis ao desempenho e à latência de rede quanto os da categoria Otimizar. O espaço total de rede desses pontos de extremidade, desde o ponto de vista da largura de banda e a contagem de conexão também é menor. Esses pontos de extremidade são dedicados ao Office 365 e estão hospedados em datacenters da Microsoft. Eles representam um amplo conjunto de Office 365 microsserviços e suas dependências (na ordem de ~100 URLs) e devem ser alterados a uma taxa maior do que as da categoria Otimizar. Nem todos os pontos de extremidade nesta categoria estão associados a sub-redes IP dedicadas definidas.

    As otimizações de rede para permitir pontos de extremidade podem melhorar a experiência do usuário Office 365, mas alguns clientes podem optar por escopo dessas otimizações mais estreitamente para minimizar as alterações em sua rede.

    Exemplos de Permitir pontos de extremidade incluem https://*.protection.outlook.com e https://accounts.accesscontrol.windows.net.

    Os métodos de otimização incluem:

    • Ignorar Permitir pontos de extremidade em dispositivos de rede e serviços que executam interceptação de tráfego, descriptografia TLS, inspeção de pacotes profundos e filtragem de conteúdo.
    • Priorizar a avaliação desses pontos de extremidade como totalmente confiável por sua infraestrutura de rede e pelos sistemas de perímetro.
    • Priorizar a redução ou a eliminação de backhaul da WAN e facilite o envio direto da saída baseada na Internet para esses pontos de extremidade, o mais próximo possível do que os usuários/filiais.
    • Certificar-se de que os endereços IP retornados pela resolução de nome DNS correspondam à trajetória de saída de roteamento para esses pontos de extremidade.
    • Priorize esses pontos de extremidade para a integração do SD-WAN para roteamento direto de latência mínima para o ponto de acesso à Internet mais próximo da rede global da Microsoft.
  • Os pontos de extremidade padrão representam Office 365 serviços e dependências que não exigem nenhuma otimização e podem ser tratados pelas redes de clientes como tráfego normal vinculado à Internet. Alguns pontos de extremidade nessa categoria podem não estar hospedados em datacenters da Microsoft. Exemplos incluem https://odc.officeapps.live.com e https://appexsin.stb.s-msn.com.

Para obter mais informações sobre as técnicas de otimização de rede do Office 365, confira o artigo Gerenciando pontos de extremidade do Office 365.

Comparando a segurança de perímetro de rede com a segurança do ponto de extremidade

O objetivo da segurança de rede tradicional é otimizar o perímetro da rede corporativa contra invasões e explorações maliciosas. À medida que as organizações adotam o Microsoft 365, alguns serviços de rede e dados são parcialmente ou totalmente migrados para a nuvem. Quanto à mudança fundamental da arquitetura de rede, esse processo exige uma reavaliação da segurança da rede que leva em consideração os fatores emergentes:

  • À medida que os serviços de nuvem são adotados, os serviços de rede e os dados são distribuídos entre os datacenters locais e a nuvem, e a segurança de perímetro não é mais adequada por si só.
  • Os usuários remotos se conectam aos recursos corporativos em datacenters locais e na nuvem contra locais não controlados, como casas, hotéis e cafeterias.
  • Os recursos de segurança criados para fins específicos estão cada vez mais incorporados ao serviços de nuvem e podem potencialmente complementar ou substituir os sistemas de segurança existentes.

A Microsoft oferece uma ampla variedade de recursos de segurança do Microsoft 365, além de uma orientação prescritiva para a aplicação de práticas recomendadas de segurança, que podem ajudar a garantir a segurança de dados e de rede da Microsoft 365. As práticas recomendadas recomendadas incluem:

  • Usar a MFA (autenticação multifator) A MFA adiciona uma camada extra de proteção a uma forte estratégia de senha, exigindo que os usuários reconheçam uma chamada telefônica, mensagem de texto ou uma notificação de aplicativo em seu telefone inteligente depois de inserir corretamente sua senha.

  • Usar o Microsoft Defender para Aplicativos na Nuvem Configure políticas para acompanhar atividades anômalas e aja sobre elas. Configure alertas com Microsoft Defender para Aplicativos de Nuvem para que os administradores possam examinar atividades incomuns ou arriscadas do usuário, como baixar grandes quantidades de dados, várias tentativas de entrada com falha ou conexões de endereços IP desconhecidos ou perigosos.

  • Configurar a Prevenção contra Perda de Dados (DLP) A DLP permite que você identifique dados confidenciais e crie políticas que ajudam a impedir que os usuários compartilhem os dados acidentalmente ou intencionalmente. A DLP funciona em todo o Microsoft 365, incluindo o Exchange Online, o SharePoint Online e o OneDrive, para que os usuários possam se manter em conformidade sem interromper o fluxo de trabalho.

  • Usar o Sistema de Proteção de Dados do Cliente Como administrador do Microsoft 365, você pode usar o Sistema de Proteção de Dados do Cliente para controlar a forma como o engenheiro de suporte da Microsoft acessa seus dados durante uma sessão de ajuda. Em casos em que o engenheiro requer acesso aos dados para solucionar e corrigir um problema, o Sistema de Proteção de Dados do Cliente permite que você aprove ou rejeite a solicitação de acesso.

  • Usar a Classificação de Segurança do Office 365 Uma ferramenta de análise de segurança que recomenda o que você pode fazer para reduzir ainda mais o risco. As pontuações de pontos de segurança analisa as suas configurações e atividades do Microsoft 365 e as compara a uma linha de base estabelecida pela Microsoft. Você obtém uma pontuação com base no quão alinhado você está com as melhores práticas de segurança.

Uma abordagem holística para a segurança aprimorada deve incluir o seguinte:

  • Mudar a ênfase do perímetro de segurança em relação à segurança do ponto de extremidade, aplicando recursos de segurança de cliente do Office e baseado na nuvem.
    • Reduzir o perímetro de segurança para o datacenter
    • Habilitação de confiança equivalente para dispositivos do usuário dentro do escritório ou em locais remotos
    • Foco na proteção do local de dados e do local do usuário
    • As máquinas de usuário gerenciado têm confiança maior com a segurança do ponto de extremidade
  • Gerenciar toda a segurança de informações de forma global, sem se concentrar exclusivamente no perímetro
    • Redefinir a segurança da rede WAN e a criação da segurança de rede de perímetro, permitindo que o tráfego confiável ignore dispositivos de segurança e separe dispositivos não gerenciados para redes Wi-Fi convidadas.
    • Reduzir os requisitos de segurança de rede da borda da WAN corporativa
    • Alguns dispositivos de segurança de perímetro de rede, como firewalls, ainda são necessários, mas o carregamento é reduzido
    • Garante a saída local do tráfego do Microsoft 365
  • Os aperfeiçoamentos podem ser abordados incrementalmente conforme descrito na seção de Otimização incremental. Algumas técnicas de otimização podem oferecer melhores taxas de custo/benefício, dependendo da arquitetura de rede, e você deve escolher otimizações que façam mais sentido para sua organização.

Para obter mais informações sobre segurança e conformidade do Microsoft 365, consulte os artigos Segurança do Microsoft 365 e Microsoft Purview.

Otimização incremental

Representamos o modelo de conectividade de rede ideal para SaaS anteriormente neste artigo, mas para muitas organizações grandes com arquiteturas de rede historicamente complexas, não é prático fazer diretamente todas essas alterações. Nesta seção, discutimos muitas alterações incrementais que podem ajudar a melhorar o desempenho e a confiabilidade do Microsoft 365.

Os métodos que você usará para otimizar o tráfego do Microsoft 365 variam dependendo da topologia de rede e dos dispositivos de rede implementados. Grandes empresas com muitos locais e práticas complexas de segurança de rede precisam desenvolver uma estratégia que inclua a maioria ou todos os princípios listados na seção princípios de conectividade do Microsoft 365 , enquanto organizações menores podem precisar considerar apenas um ou dois.

Você pode abordar a otimização como um processo incremental, aplicando cada método sucessivamente. A tabela a seguir lista os principais métodos de otimização para seu efeito sobre latência e confiabilidade para o maior número de usuários.

Método de otimização Descrição Impacto
Resolução DNS local e saída da Internet
Provisionar servidores DNS locais em cada local e garantir a que as conexões do Microsoft 365 saiam para a Internet o mais próximo possível da localização do usuário.
Minimizar latência
Melhorar a conectividade confiável com o ponto de entrada mais próximo do Microsoft 365
Adicionar pontos de saída regionais
Se sua rede corporativa tiver vários locais, mas apenas um ponto de saída, adicione pontos de saída regionais para permitir que os usuários se conectem ao ponto de entrada mais próximo do Microsoft 365.
Minimizar latência
Melhorar a conectividade confiável com o ponto de entrada mais próximo do Microsoft 365
Ignorar proxies e dispositivos de inspeção
Configurar os navegadores com arquivos PAC que enviam solicitações do Microsoft 365 diretamente para pontos de saída.
Configurar roteadores de borda e firewalls para permitir o tráfego do Microsoft 365 sem inspeção.
Minimizar latência
Reduzir a carga em dispositivos de rede
Habilitar a conexão direta para usuários VPN
Para usuários VPN, habilite as conexões do Microsoft 365 para se conectar diretamente da rede do usuário, em vez de pelo túnel VPN, implementando o tunelamento dividido.
Minimizar latência
Melhorar a conectividade confiável com o ponto de entrada mais próximo do Microsoft 365
Migrar da WAN tradicional para a SD-WAN
SD-WANs (Redes de Longa Distância Definidas por Software) simplificam o gerenciamento da WAN e melhoram o desempenho substituindo os roteadores WAN tradicionais por dispositivos virtuais, semelhante à virtualização de recursos de computação usando VMs (máquinas virtuais).
Melhorar o desempenho e a capacidade de gerenciamento do tráfego de WAN
Reduzir a carga em dispositivos de rede

Visão Geral da Conectividade de Rede do Microsoft 365

Gerenciar pontos de extremidade do Office 365

URLs e intervalos de endereços IP do Office 365

URL do serviço Web e endereço IP do Office 365

Avaliando a conectividade de rede do Microsoft 365

Planejamento de rede e ajuste de desempenho para o Microsoft 365

Ajuste de desempenho do Office 365 usando linhas de base e histórico de desempenho

Plano de solução de problemas de desempenho do Office 365

Redes de Distribuição de Conteúdo

Teste de conectividade do Microsoft 365

Como a Microsoft cria sua rede global confiável e rápida

Blog de rede do Office 365