Gerenciando pontos de extremidade do Microsoft 365
A maioria das organizações empresariais que têm vários locais de office e uma WAN de conexão precisa de configuração para a conectividade de rede do Microsoft 365. Você pode otimizar sua rede enviando todas as solicitações de rede confiáveis do Microsoft 365 diretamente por meio do firewall, ignorando todas as inspeções ou processamento de nível de pacote extra. Isso reduz a latência e os seus requisitos de capacidade de perímetro. Identificar o tráfego de rede do Microsoft 365 é a primeira etapa para fornecer um desempenho ideal para seus usuários. Para obter mais informações, consulte Princípios de Conectividade de Rede do Microsoft 365.
A Microsoft recomenda que você acesse os pontos de extremidade de rede do Microsoft 365 e as alterações contínuas usando o Endereço IP do Microsoft 365 e o Serviço Web de URL.
Independentemente de como você gerencia o tráfego de rede vital do Microsoft 365, o Microsoft 365 requer conectividade com a Internet. Outros pontos de extremidade de rede em que a conectividade é necessária estão listados em pontos de extremidade adicionais não incluídos no serviço Web de Endereço IP e URL do Microsoft 365.
A forma como você usa os pontos de extremidade de rede do Microsoft 365 depende da arquitetura de rede da organização empresarial. Este artigo descreve várias maneiras pelas quais as arquiteturas de rede corporativa podem se integrar com endereços IP e URLs do Microsoft 365. A maneira mais fácil de escolher em quais solicitações de rede confiar é usar dispositivos SD-WAN que dão suporte à configuração automatizada do Microsoft 365 em cada um dos seus locais de escritório.
SD-WAN para saída de ramificação local do tráfego de rede vital do Microsoft 365
Em cada local da filial, você pode fornecer um dispositivo SD-WAN configurado para rotear o tráfego para a categoria de pontos de extremidade Otimizar do Microsoft 365 ou Otimizar e Permitir categorias, diretamente para a rede da Microsoft. Outros tráfegos de rede, incluindo tráfego local de datacenter, tráfego geral de sites da Internet e tráfego para pontos de extremidade de categoria padrão do Microsoft 365 são enviados para outro local onde você tem um perímetro de rede mais substancial.
A Microsoft está trabalhando com provedores SD-WAN para habilitar a configuração automatizada. Para obter mais informações, consulte Microsoft 365 Programa de Parceiros de Redes.
Usar um arquivo PAC para roteamento direto do tráfego vital do Microsoft 365
Use arquivos PAC ou WPAD para gerenciar solicitações de rede associadas ao Microsoft 365, mas que não têm um endereço IP. Normalmente, solicitações de rede que são enviadas por meio de um dispositivo de proxy ou perímetro aumentam a latência. Enquanto o TLS Break and Inspect cria a maior latência, outros serviços, como autenticação de proxy e pesquisa de reputação, podem causar um desempenho ruim e uma má experiência do usuário. Além disso, esses dispositivos de perímetro de rede precisam de capacidade suficiente para processar todas as solicitações de conexão de rede. Recomendamos ignorar seus dispositivos de proxy ou inspeção para solicitações diretas de rede do Microsoft 365.
Galeria do PowerShell Get-PacFile é um script do PowerShell que lê os pontos de extremidade de rede mais recentes do serviço Web de ENDEREÇO IP e URL do Microsoft 365 e cria um arquivo PAC de exemplo. Você pode modificar o script para que ele seja integrado ao gerenciamento de arquivos de PAC existente.
Observação
Para obter mais informações sobre as considerações de segurança e desempenho da conectividade direta com os pontos de extremidade do Microsoft 365, consulte Princípios de Conectividade de Rede do Microsoft 365.
Figura 1: perímetro de rede corporativa simples
O arquivo PAC é implantado em navegadores da Web, no ponto 1, na Figura 1. Ao usar um arquivo PAC para saída direta do tráfego de rede vital do Microsoft 365, você também precisa permitir conectividade com os endereços IP por trás dessas URLs no firewall do perímetro de rede. Isso é feito buscando os endereços IP para as mesmas categorias de ponto de extremidade do Microsoft 365 especificadas no arquivo PAC e criando ACLs de firewall com base nesses endereços. O firewall é o ponto 3 na Figura 1.
Separadamente, se você optar por fazer apenas o roteamento direto para os pontos de extremidade de categoria Otimizar, todos os pontos de extremidade de categoria de permissão necessários que você enviar para o servidor proxy precisarão ser listados no servidor proxy para ignorar o processamento adicional. Por exemplo, a interrupção do TLS e a Inspeção e a Autenticação de Proxy são incompatíveis com os pontos de extremidade Otimizar e Permitir categoria. O servidor proxy é o ponto 2 na Figura 1.
A configuração comum é permitir sem processar todo o tráfego de saída do servidor proxy para os endereços IP de destino para o tráfego de rede do Microsoft 365 que atinge o servidor proxy. Para obter informações sobre problemas com o TLS Break and Inspect, confira Usando dispositivos de rede de terceiros ou soluções no tráfego do Microsoft 365.
Há dois tipos de arquivos PAC que o script Get-PacFile gera.
| Tipo | Descrição |
|---|---|
| 1 |
Enviar Otimizar o tráfego de ponto de extremidade direto e todo o conteúdo restante para o servidor proxy. |
| 2 |
Enviar Otimizar e Permitir o tráfego de ponto de extremidade direto e todo o conteúdo restante para o servidor proxy. Esse tipo também pode ser usado para enviar todo o tráfego do ExpressRoute com suporte para o Microsoft 365 para segmentos de rede do ExpressRoute e tudo mais para o servidor proxy. |
Veja um exemplo simples de como chamar o script do PowerShell:
Get-PacFile -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7
Há muitos parâmetros que você pode passar para o script:
| Parâmetro | Descrição |
|---|---|
| ClientRequestId |
Isso é obrigatório e é uma GUID passada para o serviço Web que representa o computador cliente que faz a chamada. |
| Instance |
A instância de serviço do Microsoft 365, que é padrão para o Worldwide. Isso também é passado para o serviço Web. |
| TenantName |
Seu nome de locatário do Microsoft 365. Passado para o serviço Web e usado como um parâmetro substituível em algumas URLs do Microsoft 365. |
| Type |
O tipo de Arquivo PAC de proxy que você deseja gerar. |
Aqui está outro exemplo de chamar o script do PowerShell com mais parâmetros:
Get-PacFile -Type 2 -Instance Worldwide -TenantName Contoso -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7
Processamento de bypass do servidor proxy do tráfego de rede do Microsoft 365
Quando os arquivos PAC não são usados para tráfego de saída direto, você ainda deseja ignorar o processamento em seu perímetro de rede configurando seu servidor proxy. Alguns fornecedores de servidor proxy habilitaram a configuração automatizada disso, conforme descrito no Microsoft 365 Programa de Parceiros de Redes.
Se você fizer isso manualmente, precisará obter os dados da categoria Otimizar e Permitir ponto de extremidade do Microsoft 365 IP Address and URL Web Service e configurar seu servidor proxy para ignorar o processamento para estes. É importante evitar a interrupção e inspeção de TLS e a Autenticação de Proxy para os pontos de extremidade otimizar e permitir categorias.
Gerenciamento de alterações para endereços IP e URLs do Microsoft 365
Além de selecionar a configuração apropriada para seu perímetro de rede, é fundamental que você adote um processo de gerenciamento de alterações para pontos de extremidade do Microsoft 365. Esses pontos de extremidade mudam regularmente. Se você não gerenciar as alterações, poderá acabar com usuários bloqueados ou com desempenho ruim depois que um novo endereço IP ou URL for adicionado.
As alterações nos endereços IP e URLs do Microsoft 365 geralmente são publicadas perto do último dia de cada mês. Às vezes, uma alteração é publicada fora desse cronograma devido a requisitos operacionais, de suporte ou de segurança.
Quando uma alteração é publicada que exige que você aja porque um endereço IP ou URL foi adicionado, você deve esperar receber um aviso de 30 dias a partir do momento em que publicarmos a alteração até que haja um serviço do Microsoft 365 nesse ponto de extremidade. Isso é refletido como a Data Efetiva. Embora almejemos esse período de notificação, talvez nem sempre seja possível devido aos requisitos operacionais, de suporte ou de segurança. Alterações que não exigem ação imediata para manter a conectividade, como endereços IP removidos ou URLs ou alterações menos significativas, não incluem notificação antecipada. Nessas instâncias, nenhuma Data Efetiva é fornecida. Independentemente da notificação que é fornecida, listamos a data de ativação do serviço esperada para cada alteração.
Alterar notificação usando o serviço Web
Você pode usar o Endereço IP do Microsoft 365 e o Serviço Web de URL para receber a notificação de alteração. É recomendável chamar o método Web /version uma vez por hora para marcar a versão dos pontos de extremidade que você está usando para se conectar ao Microsoft 365. Se essa versão mudar quando comparada à versão que você está usando, você deverá obter os dados mais recentes do ponto de extremidade do método web /endpoints e, opcionalmente, obter as diferenças entre o método web /changes. Não é necessário chamar os métodos web //endpoints ou /changes se não houver nenhuma alteração na versão encontrada.
Para obter mais informações, consulte Endereço IP do Microsoft 365 e Serviço Web de URL.
Alterar notificação usando o serviço Web
O Microsoft 365 IP Address and URL Web Service fornece um feed RSS ao qual você pode assinar no Outlook. Há links para as URLs do RSS em cada uma das páginas específicas da instância de serviço do Microsoft 365 para os endereços IP e URLs. Para obter mais informações, consulte Endereço IP do Microsoft 365 e Serviço Web de URL.
Alterar notificação e revisão de aprovação usando o Power Automate
Entendemos que você ainda pode exigir o processamento manual de alterações dos ponto de extremidade de rede que acontecem todo mês. Você pode usar o Power Automate para criar um fluxo que notifica você por email e, opcionalmente, executa um processo de aprovação para alterações quando os pontos de extremidade de rede do Microsoft 365 têm alterações. Depois de concluir a revisão, você pode fazer com que o fluxo envie automaticamente por email as alterações para o seu firewall e sua equipe de gerenciamento do servidor proxy.
Para obter informações sobre um exemplo e modelo do Power Automate, confira Usar o Power Automate para receber um email para alterações nos endereços IP e URLs do Microsoft 365.
Perguntas frequentes sobre pontos de extremidade de rede do Microsoft 365
Consulte estas perguntas frequentes sobre a conectividade de rede do Microsoft 365.
Como enviar uma pergunta?
Selecione o link na parte inferior para indicar se o artigo foi útil ou não e envie mais perguntas. Monitoramos os comentários e atualizamos as perguntas com os questionamentos mais frequentes.
Como determinar o local do meu locatário?
O local do locatário é determinado da melhor forma usando nosso mapa de datacenters.
Estou me emparelhando adequadamente com a Microsoft?
Locais de emparelhamento são descritos em mais detalhes em emparelhamento com a Microsoft.
Com mais de 2.500 relações de emparelhamento de ISP globalmente e 70 pontos de presença, a passagem de sua rede para a nossa deve ser perfeita. Não custa nada gastar alguns minutos garantindo que a relação de emparelhamento de seu ISP seja ideal. Veja alguns exemplos de entregas de emparelhamento boas e não tão boas para nossa rede.
Não vejo as solicitações de rede para os endereços IP na lista publicada, eu preciso fornecer acesso a eles?
Fornecemos apenas endereços IP para os servidores do Microsoft 365 para os quais você deve rotear diretamente. Essa não é uma lista abrangente de todos os endereços IP para os quais você verá solicitações de rede. Você verá solicitações de rede para a Microsoft e endereços IP de propriedade de terceiros, não publicados. Esses endereços IP são gerados dinamicamente ou gerenciados de maneira a impedir o aviso em tempo hábil quando eles mudam. Se o firewall não permitir o acesso com base em FQDNs para essas solicitações de rede, use um arquivo PAC ou WPAD para gerenciar as solicitações.
Consulte um IP associado ao Microsoft 365 no qual você deseja obter mais informações?
- Verifique se o endereço IP está incluído em um intervalo publicado maior usando uma calculadora CIDR como essas para o IPv4ouIPv6. Por exemplo, 40.96.0.0/13 inclui o endereço IP 40.103.0.1 apesar de 40.96 não corresponder a 40.103.
- Ver se um parceiro é responsável pelo IP com uma consulta whois. Se for propriedade da Microsoft, pode ser um parceiro interno. Muitos pontos de extremidade de rede de parceiros são listados como pertencentes à categoria padrão , para a qual os endereços IP não são publicados.
- O endereço IP pode não fazer parte do Microsoft 365 ou de uma dependência. A publicação de ponto de extremidade de rede do Microsoft 365 não inclui todos os pontos de extremidade de rede da Microsoft.
- Verifique o certificado. Com um navegador, conecte-se ao endereço IP usando HTTPS://< IP_ADDRESS> e marcar os domínios listados no certificado para entender quais domínios estão associados ao endereço IP. Se for um endereço IP de propriedade da Microsoft e não estiver na lista de endereços IP do Microsoft 365, é provável que o endereço IP esteja associado a uma CDN da Microsoft, como MSOCDN.NET ou outro domínio da Microsoft sem informações de IP publicadas. Se você descobrir que o domínio do certificado é um domínio onde podemos solicitar que seja listado o endereço IP, informe-nos.
Algumas URLs do Microsoft 365 apontam para registros CNAME em vez de registros A no DNS. O que preciso fazer com os registros CNAME?
Os computadores cliente precisam de um registro DNS A ou AAAA que inclua um ou mais endereços IP para se conectar a um serviço de nuvem. Algumas URLs incluídas no Microsoft 365 mostram registros CNAME em vez de registros A ou AAAA. Esses registros CNAME são intermediários e podem haver vários em uma cadeia. Eles sempre serão resolve a um registro A ou AAAA para um endereço IP. Por exemplo, considere a seguinte série de registros DNS, que, em última análise, resolve para o endereço IP IP_1:
serviceA.office.com -> CNAME: serviceA.domainA.com -> CNAME: serviceA.domainB.com -> A: IP_1
Esses redirecionamentos CNAME são uma parte normal do DNS e são transparentes para o computador cliente e transparentes para os servidores proxy. Eles são usados para balanceamento de carga, redes de entrega de conteúdo, alta disponibilidade e mitigação de incidentes de serviço. A Microsoft não publica os registros CNAME intermediários, eles estão sujeitos a alterações a qualquer momento e você não precisa configurá-los conforme permitido em seu servidor proxy.
Um servidor proxy valida a URL inicial, que no exemplo acima é serviceA.office.com e essa URL seria incluída na publicação do Microsoft 365. O servidor proxy solicita a resolução DNS dessa URL para um endereço IP e recebe de volta IP_1. Ele não valida os registros de redirecionamento CNAME intermediários.
Configurações codificadas ou usando uma lista de permissões com base em FQDNs indiretos do Microsoft 365 não são recomendadas e não têm suporte da Microsoft. Eles são conhecidos por causar problemas de conectividade do cliente. Soluções DNS que bloqueiam o redirecionamento CNAME ou que, de outra forma, resolve entradas DNS do Microsoft 365 incorretamente, podem ser resolvidas por meio de encaminhadores DNS com a recursão DNS habilitada ou usando dicas raiz DNS. Muitos produtos de perímetro de rede de terceiros integram nativamente o ponto de extremidade recomendado do Microsoft 365 para incluir uma lista de permissões em sua configuração usando o Endereço IP do Microsoft 365 e o serviço Web de URL.
Por que vejo nomes como nsatc.net ou akadns.net em nomes de domínio da Microsoft?
O Microsoft 365 e outros serviços da Microsoft usam vários serviços de terceiros, como Akamai e MarkMonitor, para melhorar sua experiência do Microsoft 365. Para continuar oferecendo a melhor experiência possível, podemos alterar esses serviços no futuro. Domínios de terceiros podem hospedar conteúdo, como uma CDN, ou podem hospedar um serviço, como um serviço de gerenciamento de tráfego geográfico. Alguns dos serviços em uso no momento incluem:
O MarkMonitor está em uso quando você vê solicitações que incluem *.nsatc.net. Esse serviço fornece proteção de nome de domínio e monitoramento para proteção contra comportamentos mal intencionados.
ExactTarget está em uso quando você vê solicitações para *.exacttarget.com. Esse serviço fornece gerenciamento de link de email e monitoramento contra comportamentos mal-intencionados.
Akamai é em uso quando você vê as solicitações que incluem um dos seguintes FQDNs. Esse serviço oferece DNS geográfica e serviços de rede de distribuição de conteúdo.
*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net
Tenho que ter a conectividade mínima possível para o Microsoft 365
Como o Microsoft 365 é um conjunto de serviços criados para funcionar pela Internet, as promessas de confiabilidade e disponibilidade são baseadas em muitos serviços de Internet padrão disponíveis. Por exemplo, serviços de Internet padrão, como DNS, CRL e CDNs, devem ser acessíveis para usar o Microsoft 365, assim como devem ser acessíveis para usar a maioria dos serviços de Internet modernos.
O pacote do Microsoft 365 é dividido em grandes áreas de serviço. Essas áreas podem ser habilitadas seletivamente para conectividade e há uma área Comum, que é uma dependência para todos e é sempre necessária.
| Área de Serviço | Descrição |
|---|---|
| Exchange |
Exchange Online e Proteção do Exchange Online |
| SharePoint |
SharePoint Online e OneDrive for Business |
| Skype for Business Online e Microsoft Teams |
Skype for Business Online e Microsoft Teams |
| Comum |
Microsoft 365 Pro Plus, Office em um navegador, Microsoft Entra ID e outros pontos de extremidade de rede comuns |
Além dos serviços básicos de internet, há serviços de terceiros que são usados somente para integrar funcionalidade. Embora esses serviços sejam necessários para integração, eles são marcados como opcionais no artigo pontos de extremidade do Microsoft 365. Isso significa que a funcionalidade principal do serviço continuará funcionando se o ponto de extremidade não estiver acessível. Qualquer ponto de extremidade de rede necessário tem o atributo necessário definido como true. Qualquer ponto de extremidade de rede opcional tem o atributo necessário definido como false e o atributo de anotações detalha a funcionalidade ausente que você deve esperar se a conectividade estiver bloqueada.
Se você está tentando usar o Microsoft 365 e está encontrando serviços de terceiros não acessíveis, você deseja garantir que todos os FQDNs marcados como obrigatórios ou opcionais neste artigo sejam permitidos por meio do proxy e do firewall.
Como bloqueio o acesso aos serviços do consumidor da Microsoft?
O recurso de restrições de locatário agora dá suporte ao bloqueio do uso de todos os aplicativos de consumidor da Microsoft (aplicativos MSA), como OneDrive, Hotmail e Xbox.com. Esse recurso usa um cabeçalho separado para o ponto de extremidade login.live.com. Para obter mais informações, consulte Usar restrições de locatário para gerenciar o acesso a aplicativos de nuvem SaaS.
O firewall exige endereços IP e não processa URLs. Como fazer configurá-lo para o Microsoft 365?
O Microsoft 365 não fornece endereços IP de todos os pontos de extremidade de rede necessários. Alguns são fornecidos somente como URLs e são categorizados como padrão. As URLs na categoria padrão que são necessárias devem ser permitidas por meio de um servidor proxy. Se você não tiver um servidor proxy, examine como você configurou solicitações da Web para URLs que os usuários digitam na barra de endereços de um navegador da Web; o usuário também não fornece um endereço IP. As URLs de categoria padrão do Microsoft 365 que não fornecem endereços IP devem ser configuradas da mesma maneira.
Artigos relacionados
Microsoft 365 IP Address and URL Web service
Intervalos de IP do Datacenter do Microsoft Azure
Grupos de notícias públicos da Microsoft
Requisitos de infraestrutura de rede para o Microsoft Intune
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de