Princípios de conectividade de rede do Microsoft 365
Este artigo se aplica tanto ao Microsoft 365 Enterprise quanto ao Office 365 Enterprise.
Antes de começar a planejar sua rede para a conectividade de rede do Microsoft 365, é importante entender os princípios de conectividade para gerenciar com segurança o tráfego do Microsoft 365 e obter o melhor desempenho possível. Este artigo ajuda você a entender as diretrizes mais recentes para otimizar com segurança a conectividade de rede do Microsoft 365.
As redes corporativas tradicionais são projetadas principalmente para fornecer aos usuários acesso a aplicativos e dados hospedados em datacenters operados pela empresa com forte segurança de perímetro. O modelo tradicional presume que os usuários acessem aplicativos e dados de dentro do perímetro de rede corporativa, em links WAN de filiais ou remotamente por conexões VPN.
A adoção de aplicativos SaaS como o Microsoft 365 move algumas combinações de serviços e dados de fora do perímetro de rede. Sem otimização, o tráfego entre usuários e aplicativos SaaS fica sujeito à latência introduzida pela inspeção de pacotes, hairpins de rede, conexões inadvertidas para pontos de extremidade geograficamente distantes e outros fatores. Você pode garantir o melhor desempenho e a confiabilidade da Microsoft 365 compreendendo e implementando as principais diretrizes de otimização.
Neste artigo, você aprenderá sobre:
- A arquitetura Microsoft 365que se aplica à conectividade do cliente à nuvem
- Princípios de conectividade do Microsoft 365 atualizados e estratégias para otimizar o tráfego de rede e a experiência do usuário final
- O serviço web dos pontos de extremidade do Office 365, que permite que os administradores de rede usem uma lista estruturada de pontos de extremidade para usar em otimização de rede
- Diretrizes para otimizar a conectividade com os serviços do Microsoft 365
- Comparação de segurança de perímetro de rede com a segurança do ponto de extremidade
- Opções deotimização incremental para o tráfego do Microsoft 365
- Teste de conectividade do Microsoft 365, uma nova ferramenta para testar a conectividade básica com o Microsoft 365
Arquitetura do Microsoft 365
O Microsoft 365 é uma nuvem saaS (software como serviço) distribuída que fornece cenários de produtividade e colaboração por meio de um conjunto diversificado de microsserviços e aplicativos. Exemplos incluem Exchange Online, SharePoint Online, Skype for Business Online, Microsoft Teams, Proteção do Exchange Online, Office em um navegador e muitos outros. Embora aplicativos específicos do Microsoft 365 possam ter seus recursos exclusivos, pois se aplicam à rede do cliente e à conectividade com a nuvem, todos eles compartilham algumas principais entidades, metas e padrões de arquitetura. Esses princípios e padrões de arquitetura para conectividade são típicos para muitas outras nuvens saaS. Ao mesmo tempo, eles são diferentes dos modelos de implantação típicos das nuvens Platform-as-a-Service e Infrastructure-as-a-Service, como o Microsoft Azure.
Um dos recursos arquitetônicos mais significativos do Microsoft 365 (que muitas vezes é perdido ou mal interpretado por arquitetos de rede) é que é um serviço distribuído verdadeiramente global, no contexto de como os usuários se conectam a ele. O local do locatário do Microsoft 365 de destino é importante para entender a localidade de onde os dados do cliente são armazenados na nuvem. No entanto, a experiência do usuário com o Microsoft 365 não envolve a conexão diretamente com discos que contêm os dados. A experiência do usuário com o Microsoft 365 (incluindo desempenho, confiabilidade e outras características de qualidade importantes) envolve a conectividade por meio de uma porta frontal de serviço altamente distribuída que é ampliada entre centenas de locais da Microsoft em todo o mundo. Na maioria dos casos, a melhor experiência do usuário é obtida permitindo que a rede do cliente rote as solicitações de usuário para o ponto de entrada de serviço mais próximo do Microsoft 365. Isso é preferível em vez de se conectar ao Microsoft 365 por meio de um ponto de saída em um local ou região central.
Para a maioria dos clientes, os usuários do Microsoft 365 são distribuídos em vários locais. Para obter os melhores resultados, os princípios descritos neste documento devem ser analisados do ponto de vista scale-out (não scale-up). Ao mesmo tempo em que se concentra em otimizar a conectividade para o ponto de presença mais próximo da Rede Global da Microsoft, não para a localização geográfica do locatário do Microsoft 365. Em essência, isso significa que, embora os dados de locatário do Microsoft 365 possam ser armazenados em um local geográfico específico, a experiência do Microsoft 365 para esse locatário permanece distribuída. Ele pode estar presente em uma proximidade muito próxima (rede) a cada local de usuário final que o locatário tem.
Princípios de conectividade do Microsoft 365
A Microsoft recomenda os seguintes princípios para alcançar uma melhor conectividade e desempenho do Microsoft 365. Use estes princípios de conectividade do Microsoft 365 para gerenciar seu tráfego e obter o melhor desempenho ao se conectar ao Microsoft 365.
O objetivo principal no design de rede deve ser minimizar a latência, reduzindo o tempo de resposta (RTT) da sua rede para a Rede Global da Microsoft, o backbone de rede pública da Microsoft que se conecta a todos os datacenters da Microsoft com baixa latência e pontos de entrada de aplicativo em nuvem espalhados ao redor do mundo. Você pode saber mais sobre a Rede Global da Microsoft no Como a Microsoft cria uma rede global rápida e confiável.
Identificar e diferenciar o tráfego do Microsoft 365
Identificar o tráfego de rede do Microsoft 365 é o primeiro passo para diferenciar esse tráfego do tráfego de rede genérico vinculado à Internet. A conectividade do Microsoft 365 pode ser otimizada implementando uma combinação de abordagens como otimização de rota de rede, regras de firewall, configurações de proxy do navegador. Além disso, ignorar dispositivos de inspeção de rede para determinados pontos de extremidade também é benéfico.
Para obter mais informações sobre os métodos de otimização do Microsoft 365, confira a seção otimizando a conectividade com os serviços do Microsoft 365 .
Agora a Microsoft publica todos os pontos de extremidade do Microsoft 365 como um serviço Web e fornece orientação sobre como usar esses dados. Para obter mais informações sobre como buscar e trabalhar com pontos de extremidade do Microsoft 365, confira o artigo URLs e intervalos de endereços IP do Office 365.
Enviar conexões de rede de saída localmente
O DNS local e a saída para a Internet são muito importantes para reduzir a latência da conexão e garantir que as conexões de usuários sejam feitas do ponto de entrada mais próximo para os serviços do Microsoft 365. Em uma topologia de rede complexa, é importante implementar o DNS local e a saída da Internet local juntos. Para obter mais informações sobre como o Microsoft 365 roteia as conexões do cliente para o ponto de entrada mais próximo, confira o artigo Conectividade do Cliente.
Antes do surgimento dos serviços de nuvem, como o Microsoft 365, a conectividade da Internet para usuários finais como fator de design na arquitetura de rede era relativamente simples. Quando os serviços de Internet e os sites são distribuídos em todo o mundo, a latência entre os pontos de saída corporativos e qualquer ponto de extremidade de destino é basicamente uma função de distância geográfica.
Em uma arquitetura de rede tradicional, todas as conexões de saída de Internet atravessam a rede corporativa e saem de um local central. À medida que as ofertas de nuvem da Microsoft amadureceram, uma arquitetura de rede distribuída voltada para a Internet se tornou fundamental para o suporte a serviços de nuvem sensível à latência. A Rede Global da Microsoft foi projetada para atender aos requisitos de latência com a infraestrutura de Porta Frontal do Serviço Distribuído, uma malha dinâmica de pontos de entrada globais que roteia as conexões do serviço de nuvem de entrada para o ponto de entrada mais próximo. Isso se destina a reduzir o comprimento da "última quilometragem" para os clientes da nuvem da Microsoft, reduzindo a rota entre o cliente e a nuvem com eficácia.
As WANs corporativas geralmente são projetadas para transportar o tráfego de rede para o escritório central da empresa para inspeção antes da saída para a Internet, geralmente por um ou mais servidores proxy. O diagrama a seguir ilustra essa topologia de rede.
Como o Microsoft 365 é executado na Microsoft Global Network, que inclui servidores front-end em todo o mundo, muitas vezes há um servidor front-end perto da localização do usuário. Fornecendo acesso à Internet local e configurando servidores DNS internos para fornecer a resolução de nomes locais para pontos de extremidade do Microsoft 365, o tráfego de rede destinado ao Microsoft 365 pode se conectar aos servidores front-end do Microsoft 365 o mais próximo possível do usuário. O diagrama a seguir mostra um exemplo de uma topologia de rede que permite que os usuários que se conectam de main escritórios, filiais e locais remotos sigam a rota mais curta até o ponto de entrada mais próximo do Microsoft 365.
Encurtar o caminho de rede para os pontos de entrada do Microsoft 365 dessa forma pode melhorar o desempenho da conectividade e a experiência do usuário final no Microsoft 365. Ele também pode ajudar a reduzir o efeito de alterações futuras na arquitetura de rede no desempenho e confiabilidade do Microsoft 365.
Além disso, as solicitações DNS poderão apresentar a latência se o servidor DNS de resposta estiver distante ou ocupado. Você pode minimizar a latência de resolução de nomes provisionando servidores DNS locais em locais de branch e certificando-se de que eles estão configurados para armazenar em cache registros DNS adequadamente.
Embora a saída regional possa funcionar bem para o Microsoft 365, o modelo de conectividade ideal seria sempre fornecer saída de rede na localização do usuário, independentemente de estar na rede corporativa ou locais remotos, como casas, hotéis, cafeterias e aeroportos. Este modelo de saída direta local é representado no diagrama a seguir.
As empresas que adotaram o Microsoft 365 podem tirar proveito da arquitetura de Porta Frontal do Serviço Distribuído da Rede Global da Microsoft, garantindo que as conexões com o usuário da Microsoft 365 adotem a rota mais curta possível para o ponto de entrada mais próximo da Rede Global da Microsoft. A arquitetura de rede de saída local faz isso, permitindo que o tráfego do Microsoft 365 seja roteado pela saída mais próxima, independentemente do local do usuário.
A arquitetura de saída local tem os seguintes benefícios em relação ao modelo tradicional:
- Oferece o melhor desempenho do Microsoft 365, melhorando o comprimento da rota. as conexões de usuários finais são roteadas dinamicamente para o ponto de entrada mais próximo do Microsoft 365 pela infraestrutura de Porta Frontal do Serviço Distribuído.
- Reduz a carga da infraestrutura de rede corporativa, permitindo a saída local.
- Protege as conexões em ambas as extremidades usando a segurança do ponto de extremidade do cliente e os recursos de segurança na nuvem.
Evitar hairpins de rede
Como regra geral, a rota mais curta e direta entre o usuário e o ponto de extremidade mais próximo do Microsoft 365 oferece o melhor desempenho. Um hairpin de rede ocorre quando o tráfego WAN ou VPN vinculado a um destino específico é direcionado primeiro para outro local intermediário (como a pilha de segurança, corretor de acesso à nuvem ou o gateway Web baseado em nuvem), introduzindo latência e potencial redirecionamento para um ponto de extremidade geograficamente distante. Os grampos de rede também são causados por ineficiências de roteamento/emparelhamento ou pesquisas DNS suboptimais (remotas).
Para garantir que a conectividade do Microsoft 365 não esteja sujeita a grampos de rede mesmo no caso de saída local, marcar se o ISP usado para fornecer saída de Internet para o local do usuário tem uma relação de emparelhamento direta com a Rede Global da Microsoft próxima a esse local. Você também pode querer configurar o roteamento de saída para enviar tráfego confiável do Microsoft 365 diretamente. Isso se opõe ao proxy ou ao túnel por meio de um fornecedor de segurança de rede baseado em nuvem ou de terceiros que processa o tráfego vinculado à Internet. A resolução de nomes DNS local de pontos de extremidade do Microsoft 365 ajuda a garantir que, além do roteamento direto, os pontos de entrada mais próximos do Microsoft 365 estejam sendo usados para as conexões de usuário.
Se você usar serviços de segurança ou rede baseados em nuvem para o tráfego do Microsoft 365, verifique se o resultado do grampo de cabelo será avaliado e seu efeito sobre o desempenho do Microsoft 365 será compreendido. Isso pode ser feito examinando o número e os locais dos locais do provedor de serviços por meio dos quais o tráfego é encaminhado em relação ao número de filiais e pontos de emparelhamento da Microsoft Global Network, a qualidade da relação de emparelhamento de rede do provedor de serviços com seu ISP e Microsoft e o efeito de desempenho do backhauling na infraestrutura do provedor de serviços.
Devido ao grande número de locais distribuídos com pontos de entrada do Microsoft 365 e sua proximidade com os usuários finais, rotear o tráfego do Microsoft 365 para qualquer provedor de segurança ou rede de terceiros pode ter um efeito adverso nas conexões do Microsoft 365 se a rede do provedor não estiver configurada para o emparelhamento ideal do Microsoft 365.
Avaliar ignorar proxies, dispositivos de inspeção de tráfego e tecnologias de segurança duplicadas
Os clientes empresariais devem revisar seus métodos de redução de risco e de segurança de rede especificamente para o tráfego vinculado ao Microsoft 365 e usar os recursos de segurança do Microsoft 365 para reduzir sua dependência de tecnologias de segurança de rede intrusivas, caras e com impacto no desempenho para o tráfego de rede do Microsoft 365.
A maioria das redes empresariais impõe a segurança de rede para o tráfego da Internet usando tecnologias como proxies, inspeção TLS, inspeção de pacotes e sistemas de prevenção de perda de dados. Essas tecnologias oferecem redução de risco importantes para solicitações de Internet genéricas, mas podem reduzir significativamente o desempenho, a capacidade de expansão e a qualidade da experiência do usuário final quando aplicada aos pontos de extremidade do Microsoft 365.
Serviços Web dos Pontos de extremidade do Office 365
Os administradores do Microsoft 365 podem usar um script ou uma chamada REST para consumir uma lista estruturada de pontos de extremidade do serviço Web de pontos de extremidade do Office 365 e atualizar as configurações de firewalls de perímetro e outros dispositivos de rede. Isso garante que o tráfego vinculado ao Microsoft 365 seja identificado, tratado adequadamente e gerenciado de forma diferente do tráfego de rede associado a sites genéricos e muitas vezes desconhecidos da Internet. Para saber mais sobre como usar o serviço Web de pontos de extremidade do Office 365, confira o artigo URLs e intervalos de endereços IP do Office 365.
Scripts de PAC (Configuração Automática de Proxy)
Os administradores do Microsoft 365 podem criar scripts PAC (Configuração Automática de Proxy) que podem ser entregues aos computadores dos usuários por meio de WPAD ou de GPO. Os scripts PAC podem ser usados para ignorar os proxies de solicitações do Microsoft 365 de usuários de WAN ou VPN, permitindo que o tráfego do Microsoft 365 use conexões diretas com a Internet em vez de atravessar a rede corporativa.
Recursos de segurança do Microsoft 365
A Microsoft é transparente sobre a segurança do datacenter, a segurança operacional e a redução de riscos em relação aos servidores da Microsoft 365 e aos pontos de extremidade de rede que eles representam. Os recursos de segurança internos do Microsoft 365 estão disponíveis para reduzir o risco de segurança de rede, como Prevenção Contra Perda de Dados do Microsoft Purview, Antivírus, autenticação multifator, Customer Lockbox, Defender para Office 365, Microsoft 365 Threat Intelligence, Microsoft 365 Secure Score, Proteção do Exchange Online e Segurança DDOS de Rede.
Para obter mais informações sobre o datacenter da Microsoft e a segurança da Rede Global, confira Central de Confiabilidade da Microsoft.
Otimizando a conectividade com os serviços do Microsoft 365
Os serviços do Microsoft 365 são uma coleção de produtos, aplicativos e serviços dinâmicos, interdependentes e profundamente integrados. Ao configurar e otimizar a conectividade com os serviços do Microsoft 365, não é viável vincular pontos de extremidade específicos (domínios) com alguns cenários do Microsoft 365 para implementar a listagem de permissões no nível da rede. A Microsoft não dá suporte à listagem seletiva de permissões, pois causa incidentes de conectividade e serviço para os usuários. Portanto, os administradores de rede devem sempre aplicar diretrizes do Microsoft 365 para listagem de permissões de rede e otimizações de rede comuns ao conjunto completo de pontos de extremidade de rede (domínios) necessários que são publicados e atualizados regularmente. Embora estejamos simplificando os pontos de extremidade de rede do Microsoft 365 em resposta aos comentários do cliente, os administradores de rede devem estar cientes dos seguintes padrões principais no conjunto existente de pontos de extremidade hoje:
- Sempre que possível, os pontos de extremidade de domínio publicados incluirão curingas para reduzir significativamente o esforço de configuração de rede para os clientes.
- O Microsoft 365 anunciou uma iniciativa de consolidação de domínio (cloud.microsoft), fornecendo aos clientes uma maneira de simplificar suas configurações de rede e acumular automaticamente otimizações de rede para esse domínio para muitos serviços atuais e futuros do Microsoft 365.
- Uso exclusivo do domínio raiz cloud.microsoft para isolamento de segurança e funções específicas. Isso permite que as equipes de segurança e rede do cliente confiem nos domínios do Microsoft 365, melhorando a conectividade com esses pontos de extremidade e evitando o processamento desnecessário de segurança de rede.
- Determinadas definições de ponto de extremidade especificam prefixos IP exclusivos correspondentes aos seus domínios. Esse recurso dá suporte aos clientes com estruturas de rede complexas, permitindo que eles apliquem otimizações de rede precisas utilizando detalhes do prefixo IP.
As seguintes configurações de rede são recomendadas para todos os pontos de extremidade de rede (domínios) do Microsoft 365 "Obrigatórios ":
- Permitir explicitamente os pontos de extremidade de rede do Microsoft 365 nos dispositivos e serviços de rede pelos quais as conexões de usuário passam (por exemplo, dispositivos de segurança de perímetro de rede, como proxies, firewalls, DNS, soluções de segurança de rede baseadas em nuvem etc.)
- Ignore domínios do Microsoft 365 da descriptografia do TLS, interceptação de tráfego, inspeção de pacotes profundos e filtragem de conteúdo e pacote de rede. Observe que muitos resultados para os quais os clientes estão usando essas tecnologias de rede no contexto de aplicativos não gerenciados/não gerenciados podem ser obtidos pelos recursos de segurança do Microsoft 365 nativamente.
- O acesso direto à Internet deve ser priorizado para os domínios do Microsoft 365, reduzindo a dependência do backhauling da WAN (rede de ampla área), evitando grampos de rede e permitindo uma saída de Internet mais eficiente local para os usuários e diretamente para a rede Microsoft.
- Verifique se a resolução de nomes DNS ocorre perto da saída de rede para garantir que as conexões sejam atendidas por meio da porta frontal mais ideal do Microsoft 365.
- Priorize as conexões do Microsoft 365 ao longo do caminho de rede, garantindo capacidade e qualidade do serviço para experiências do Microsoft 365.
- Ignorar dispositivos de intermediação de tráfego, como proxies e serviços vpn.
Clientes com topologias de rede complexas, implementando otimizações de rede como roteamento personalizado, bypass de proxy baseado em IP e VPN de túnel dividido podem exigir informações de prefixo IP além de domínios. Para facilitar esses cenários de cliente, os pontos de extremidade de rede do Microsoft 365 são agrupados em categorias para priorizar e facilitar a configuração dessas otimizações de rede adicionais. Os pontos de extremidade de rede classificados nas categorias "Otimizar" e "Permitir" carregam grandes volumes de tráfego e são sensíveis à latência e ao desempenho da rede, e os clientes podem querer otimizar a conectividade com eles primeiro. Os pontos de extremidade de rede nas categorias "Otimizar" e "Permitir" têm endereços IP listados junto com domínios. Os pontos de extremidade de rede classificados na categoria "Padrão" não têm endereços IP associados a eles, pois são mais dinâmicos por natureza e os endereços IP são alterados ao longo do tempo.
Considerações sobre rede adicionais
Ao otimizar a conectividade com o Microsoft 365, determinadas configurações de rede podem ter um impacto negativo na disponibilidade, interoperabilidade, desempenho e experiência do usuário do Microsoft 365. A Microsoft não testou os seguintes cenários de rede com nossos serviços e eles são conhecidos por causar problemas de conectividade.
- Terminação de TLS ou inspeção de pacotes profundos de quaisquer domínios M365 com proxies de cliente ou outros tipos de dispositivos ou serviços de rede (use dispositivos de rede de terceiros ou soluções com o Microsoft 365 - Microsoft 365 | Microsoft Learn).
- Bloquear protocolos ou versões de protocolo específicas, como QUIC, WebSocket, etc. por infraestrutura de rede intermediária ou serviço.
- Forçando downgrade ou failover de protocolos (como UDP --> TCP, TLS1.3 --> TLS1.2 --> TLS1.1) usados entre aplicativos cliente e serviços do Microsoft 365.
- Roteando conexões por meio da infraestrutura de rede aplicando sua própria autenticação, como autenticação de proxy.
Recomendamos que os clientes evitem usar essas técnicas de rede para tráfego destinado a domínios do Microsoft 365 e contorná-las para conexões do Microsoft 365.
A Microsoft recomenda configurar um sistema automatizado para baixar e aplicar a lista de pontos de extremidade de rede M365 regularmente. Consulte Gerenciamento de alterações para endereços IP e URLs do Microsoft 365 para obter mais informações.
Comparando a segurança de perímetro de rede com a segurança do ponto de extremidade
O objetivo da segurança de rede tradicional é otimizar o perímetro da rede corporativa contra invasões e explorações maliciosas. À medida que as organizações adotam o Microsoft 365, alguns serviços de rede e dados são parcialmente ou totalmente migrados para a nuvem. Quanto à mudança fundamental da arquitetura de rede, esse processo exige uma reavaliação da segurança da rede que leva em consideração os fatores emergentes:
- À medida que os serviços de nuvem são adotados, os serviços de rede e os dados são distribuídos entre os datacenters locais e a nuvem, e a segurança de perímetro não é mais adequada por si só.
- Os usuários remotos se conectam aos recursos corporativos em datacenters locais e na nuvem contra locais não controlados, como casas, hotéis e cafeterias.
- Os recursos de segurança criados para fins específicos estão cada vez mais incorporados ao serviços de nuvem e podem potencialmente complementar ou substituir os sistemas de segurança existentes.
A Microsoft oferece uma ampla variedade de recursos de segurança do Microsoft 365, além de uma orientação prescritiva para a aplicação de práticas recomendadas de segurança, que podem ajudar a garantir a segurança de dados e de rede da Microsoft 365. As práticas recomendadas recomendadas incluem:
Usar a MFA (autenticação multifator) A MFA adiciona uma camada extra de proteção a uma forte estratégia de senha, exigindo que os usuários reconheçam uma chamada telefônica, mensagem de texto ou uma notificação de aplicativo em seu telefone inteligente depois de inserir corretamente sua senha.
Usar o Microsoft Defender para Aplicativos na Nuvem Configure políticas para acompanhar atividades anômalas e aja sobre elas. Configure alertas com Microsoft Defender para Aplicativos de Nuvem para que os administradores possam examinar atividades incomuns ou arriscadas do usuário, como baixar grandes quantidades de dados, várias tentativas de entrada com falha ou conexões de endereços IP desconhecidos ou perigosos.
Configurar a Prevenção contra Perda de Dados (DLP) A DLP permite que você identifique dados confidenciais e crie políticas que ajudam a impedir que os usuários compartilhem os dados acidentalmente ou intencionalmente. A DLP funciona em todo o Microsoft 365, incluindo o Exchange Online, o SharePoint Online e o OneDrive, para que os usuários possam se manter em conformidade sem interromper o fluxo de trabalho.
Usar o Sistema de Proteção de Dados do Cliente Como administrador do Microsoft 365, você pode usar o Sistema de Proteção de Dados do Cliente para controlar a forma como o engenheiro de suporte da Microsoft acessa seus dados durante uma sessão de ajuda. Em casos em que o engenheiro requer acesso aos dados para solucionar e corrigir um problema, o Sistema de Proteção de Dados do Cliente permite que você aprove ou rejeite a solicitação de acesso.
Usar a Classificação de Segurança do Office 365 Uma ferramenta de análise de segurança que recomenda o que você pode fazer para reduzir ainda mais o risco. As pontuações de pontos de segurança analisa as suas configurações e atividades do Microsoft 365 e as compara a uma linha de base estabelecida pela Microsoft. Você obtém uma pontuação com base no quão alinhado você está com as melhores práticas de segurança.
Uma abordagem holística para a segurança aprimorada deve incluir o seguinte:
- Mudar a ênfase do perímetro de segurança em relação à segurança do ponto de extremidade, aplicando recursos de segurança de cliente do Office e baseado na nuvem.
- Reduzir o perímetro de segurança para o datacenter
- Habilitação de confiança equivalente para dispositivos do usuário dentro do escritório ou em locais remotos
- Foco na proteção do local de dados e do local do usuário
- As máquinas de usuário gerenciado têm confiança maior com a segurança do ponto de extremidade
- Gerenciar toda a segurança de informações de forma global, sem se concentrar exclusivamente no perímetro
- Redefinir a segurança da rede WAN e a criação da segurança de rede de perímetro, permitindo que o tráfego confiável ignore dispositivos de segurança e separe dispositivos não gerenciados para redes Wi-Fi convidadas.
- Reduzir os requisitos de segurança de rede da borda da WAN corporativa
- Alguns dispositivos de segurança de perímetro de rede, como firewalls, ainda são necessários, mas o carregamento é reduzido
- Garante a saída local do tráfego do Microsoft 365
- Os aperfeiçoamentos podem ser abordados incrementalmente conforme descrito na seção de Otimização incremental. Algumas técnicas de otimização podem oferecer melhores taxas de custo/benefício, dependendo da arquitetura de rede, e você deve escolher otimizações que façam mais sentido para sua organização.
Para obter mais informações sobre segurança e conformidade do Microsoft 365, consulte os artigos Segurança do Microsoft 365 e Microsoft Purview.
Otimização incremental
Representamos o modelo de conectividade de rede ideal para SaaS anteriormente neste artigo, mas para muitas organizações grandes com arquiteturas de rede historicamente complexas, não é prático fazer diretamente todas essas alterações. Nesta seção, discutimos muitas alterações incrementais que podem ajudar a melhorar o desempenho e a confiabilidade do Microsoft 365.
Os métodos que você usará para otimizar o tráfego do Microsoft 365 variam dependendo da topologia de rede e dos dispositivos de rede implementados. Grandes empresas com muitos locais e práticas complexas de segurança de rede precisam desenvolver uma estratégia que inclua a maioria ou todos os princípios listados na seção princípios de conectividade do Microsoft 365 , enquanto organizações menores podem precisar considerar apenas um ou dois.
Você pode abordar a otimização como um processo incremental, aplicando cada método sucessivamente. A tabela a seguir lista os principais métodos de otimização para seu efeito sobre latência e confiabilidade para o maior número de usuários.
| Método de otimização | Descrição | Impacto |
|---|---|---|
| Resolução DNS local e saída da Internet |
Provisionar servidores DNS locais em cada local e garantir a que as conexões do Microsoft 365 saiam para a Internet o mais próximo possível da localização do usuário. |
Minimizar latência Melhorar a conectividade confiável com o ponto de entrada mais próximo do Microsoft 365 |
| Adicionar pontos de saída regionais |
Se sua rede corporativa tiver vários locais, mas apenas um ponto de saída, adicione pontos de saída regionais para permitir que os usuários se conectem ao ponto de entrada mais próximo do Microsoft 365. |
Minimizar latência Melhorar a conectividade confiável com o ponto de entrada mais próximo do Microsoft 365 |
| Ignorar proxies e dispositivos de inspeção |
Configurar os navegadores com arquivos PAC que enviam solicitações do Microsoft 365 diretamente para pontos de saída. Configurar roteadores de borda e firewalls para permitir o tráfego do Microsoft 365 sem inspeção. |
Minimizar latência Reduzir a carga em dispositivos de rede |
| Habilitar a conexão direta para usuários VPN |
Para usuários VPN, habilite as conexões do Microsoft 365 para se conectar diretamente da rede do usuário, em vez de pelo túnel VPN, implementando o tunelamento dividido. |
Minimizar latência Melhorar a conectividade confiável com o ponto de entrada mais próximo do Microsoft 365 |
| Migrar da WAN tradicional para a SD-WAN |
SD-WANs (Redes de Longa Distância Definidas por Software) simplificam o gerenciamento da WAN e melhoram o desempenho substituindo os roteadores WAN tradicionais por dispositivos virtuais, semelhante à virtualização de recursos de computação usando VMs (máquinas virtuais). |
Melhorar o desempenho e a capacidade de gerenciamento do tráfego de WAN Reduzir a carga em dispositivos de rede |
Artigos relacionados
Visão Geral da Conectividade de Rede do Microsoft 365
Gerenciar pontos de extremidade do Office 365
URLs e intervalos de endereços IP do Office 365
URL do serviço Web e endereço IP do Office 365
Avaliando a conectividade de rede do Microsoft 365
Planejamento de rede e ajuste de desempenho para o Microsoft 365
Ajuste de desempenho do Office 365 usando linhas de base e histórico de desempenho
Plano de solução de problemas de desempenho do Office 365
Redes de Distribuição de Conteúdo
Teste de conectividade do Microsoft 365
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de