Protegendo o tráfego de mídia do Teams para túnel dividido de VPN
Observação
Este artigo faz parte de um conjunto de artigos que abordam a otimização do Microsoft 365 para usuários remotos.
- Para obter uma visão geral do uso do túnel dividido de VPN para otimizar a conectividade do Microsoft 365 para usuários remotos, confira Visão geral: túnel dividido de VPN para o Microsoft 365.
- Para obter diretrizes detalhadas sobre como implementar o túnel dividido de VPN, consulte Implementando o túnel dividido de VPN para o Microsoft 365.
- Para obter uma lista detalhada de cenários de túnel dividido de VPN, consulte Cenários comuns de túnel dividido de VPN para o Microsoft 365.
- Para obter informações sobre como configurar o Stream e eventos ao vivo em ambientes VPN, confira Considerações especiais sobre eventos ao vivo e stream em ambientes VPN.
- Para obter informações sobre como otimizar o desempenho de locatários do Microsoft 365 em todo o mundo para usuários na China, confira Otimização de desempenho do Microsoft 365 para usuários da China.
Alguns administradores do Microsoft Teams podem exigir informações detalhadas sobre como os fluxos de chamadas operam no Teams usando um modelo de túnel dividido e como as conexões são protegidas.
Configuração
Para chamadas e reuniões, desde que as sub-redes IP otimizadas necessárias para a mídia do Teams estejam corretamente em vigor na tabela de rotas, quando o Teams chamar a função GetBestRoute para determinar qual interface local corresponde à rota que deve ser usada para um destino específico, a interface local será retornada para destinos da Microsoft nos blocos de IP da Microsoft listados acima.
Algum softwares clientes VPN permitem a manipulação de roteamento baseado na URL. No entanto, o tráfego de mídia do Teams não tem nenhuma URL associada a ele. Portanto, o controle do roteamento desse tráfego deve ser feito usando sub-redes IP.
Em determinados cenários, frequentemente não relacionados à configuração do cliente do Teams, o tráfego de mídia ainda atravessa o túnel VPN, mesmo com as rotas corretas no local. Se você encontrar esse cenário, usar uma regra de firewall para bloquear as sub-redes ou portas IP do Teams de usar a VPN deve ser suficiente.
Importante
Para garantir que o tráfego de mídia do Teams seja roteado por meio do método desejado em todos os cenários de VPN, verifique se os usuários estão executando o cliente do Microsoft Teams versão 1.3.00.13565 ou superior. Esta versão inclui melhorias na forma como o cliente detecta caminhos de rede disponíveis.
O tráfego de sinalização é executado por HTTPS e não é tão sensível à latência quanto o tráfego de mídia e é marcado como Permitir nos dados de URL/IP e, portanto, pode ser roteado com segurança pelo cliente VPN, se desejado.
Observação
O Microsoft Edge 96 e superior também dá suporte ao túnel dividido de VPN para tráfego ponto a ponto. Isso significa que os clientes podem obter o benefício do túnel dividido de VPN para clientes Web do Teams no Edge, por exemplo. Os clientes que desejam configurá-lo para sites em execução no Edge podem alcançá-lo tomando a etapa adicional de desabilitar a política Edge WebRtcRespectOsRoutingTableEnabled .
Segurança
Um argumento comum para evitar túneis divididos é que é menos seguro fazer isso, ou seja, qualquer tráfego que não passe pelo túnel VPN não se beneficiará de qualquer esquema de criptografia aplicado ao túnel VPN e, portanto, é menos seguro.
O principal contador-argumento para isso é que o tráfego da mídia já está criptografado por Protocolo de transporte seguro em tempo real (SRTP), um perfil do Protocolo RTP (protocolo de transporte em tempo real) que fornece confidencialidade, autenticação e proteção contra ataque de reprodução ao tráfego RTP. O SRTP conta com uma chave de sessão gerada aleatoriamente, que é trocada por meio do canal de sinalização protegido por TLS. Isso é abordado em muito detalhes neste guia de segurança, mas a seção principal de interesse é a criptografia de mídia.
O tráfego de mídia é criptografado usando o SRTP, que usa uma chave de sessão gerada por um gerador de número aleatório seguro e trocado usando o canal TLS de sinalização. Além disso, a mídia que flui em ambas as direções entre o servidor de mediação e seu próximo nó interno também é criptografada usando o SRTP.
O Skype for Business online gera nome de usuário/senhas para acesso seguro a retransmissores de mídia por Atravessamento usando retransmissões ao redor de NAT (TURN). As retransmissões de mídia trocam o nome de usuário/senha em um canal SIP protegido por TLS. Vale a pena observar que, embora um túnel VPN possa ser usado para conectar o cliente à rede corporativa, o tráfego ainda precisa fluir em seu formulário SRTP quando ele sai da rede corporativa para chegar ao serviço.
Informações sobre como o Teams atenua preocupações comuns de segurança, como ataques de amplificação de voz ou utilitários de passagem de sessão para NAT (STUN), podem ser encontradas em considerações de segurança 5.1 para implementadores.
Você também pode saber mais sobre os controles de segurança modernos em cenários de trabalho remoto Maneiras alternativas para profissionais de segurança e TI alcançarem controles de segurança modernos nos cenários atuais de trabalho remoto (blog da equipe de segurança da Microsoft)
Testando
Depois que a política estiver em vigor, você deverá confirmar que ela está funcionando conforme o esperado. Há várias maneiras de testar se a trajetória está corretamente configurada para usar a conexão de Internet local:
Execute o teste de conectividade do Microsoft 365 que executará testes de conectividade para você, incluindo rotas de rastreamento como acima. Também estamos adicionando testes de VPN a essa ferramenta que também deve fornecer insights adicionais.
Um rastreamento simples para um ponto de extremidade no escopo do túnel dividido deve mostrar o caminho tomado, por exemplo:
tracert worldaz.tr.teams.microsoft.comEm seguida, você deve ver um caminho por meio do ISP local para este ponto de extremidade que deve resolve a um IP nos intervalos do Teams que configuramos para túnel dividido.
Faça uma captura de rede usando uma ferramenta como o Wireshark. Filtre o UDP durante uma chamada e você deverá ver o tráfego que flui para um IP no intervalo Otimizar do Teams. Se o túnel VPN estiver sendo usado para esse tráfego, o tráfego de mídia não ficará visível no rastreamento.
Logs de suporte adicionais
Se você precisar de mais dados para solucionar problemas ou estiver solicitando assistência do suporte da Microsoft, obter as informações a seguir devem permitir que você encontre uma solução. O conjunto de ferramentas de script universal de solução de problemas baseado em CMD do Windows TSS pode ajudá-lo a coletar os logs relevantes de maneira simples. A ferramenta e as instruções sobre o uso podem ser encontradas em https://aka.ms/TssTools.
Artigos relacionados
Visão geral: túnel dividido de VPN para o Microsoft 365
Implementando o túnel dividido de VPN para o Microsoft 365
Cenários comuns de túnel de divisão de VPN para o Microsoft 365
Considerações especiais sobre stream e eventos ao vivo em ambientes VPN
Otimização de desempenho do Microsoft 365 para usuários da China
Princípios de Conectividade de Rede do Microsoft 365
Avaliando a conectividade de rede do Microsoft 365
Ajuste de desempenho e rede do Microsoft 365
Trabalhando no VPN: Como a Microsoft mantém sua força de trabalho remota conectada
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de