Princípios de conectividade de rede do Microsoft 365

Artigo
04/20/2024

Este artigo aplica-se tanto a Microsoft 365 Enterprise como a Office 365 Enterprise.

Antes de começar a planear a sua rede para conectividade de rede do Microsoft 365, é importante compreender os princípios de conectividade para gerir de forma segura o tráfego do Microsoft 365 e obter o melhor desempenho possível. Este artigo ajuda-o a compreender as orientações mais recentes para otimizar de forma segura a conectividade de rede do Microsoft 365.

As redes empresariais tradicionais são concebidas principalmente para fornecer aos utilizadores acesso a aplicações e dados alojados em datacenters operados pela empresa com segurança de perímetro forte. O modelo tradicional pressupõe que os utilizadores acederão a aplicações e dados a partir do perímetro da rede empresarial, através de ligações WAN de sucursais ou remotamente através de ligações VPN.

A adoção de aplicações SaaS como o Microsoft 365 move alguma combinação de serviços e dados para fora do perímetro da rede. Sem otimização, o tráfego entre utilizadores e aplicações SaaS está sujeito à latência introduzida pela inspeção de pacotes, pelos de rede, ligações inadvertidas a pontos finais geograficamente distantes e outros fatores. Pode garantir o melhor desempenho e fiabilidade do Microsoft 365 ao compreender e implementar as principais diretrizes de otimização.

Neste artigo, irá saber mais sobre:

Arquitetura do Microsoft 365 tal como se aplica à conectividade do cliente à cloud
Atualização dos princípios e estratégias de conectividade do Microsoft 365 para otimizar o tráfego de rede e a experiência do utilizador final
O serviço Web Office 365 Pontos Finais, que permite que os administradores de rede consumam uma lista estruturada de pontos finais para utilização na otimização da rede
Documentação de orientação para otimizar a conectividade aos serviços do Microsoft 365
Comparar a segurança de perímetro de rede com a segurança do ponto final
Opções de otimização incremental para o tráfego do Microsoft 365
O teste de conectividade do Microsoft 365, uma nova ferramenta para testar a conectividade básica ao Microsoft 365

Arquitetura do Microsoft 365

O Microsoft 365 é uma cloud Distribuída de Software como Serviço (SaaS) que fornece cenários de produtividade e colaboração através de um conjunto diversificado de microsserviços e aplicações. Os exemplos incluem Exchange Online, SharePoint Online, Skype para Empresas Online, Microsoft Teams, Proteção do Exchange Online, Office num browser e muitas outras. Embora aplicações específicas do Microsoft 365 possam ter as suas funcionalidades exclusivas, uma vez que se aplicam à rede do cliente e à conectividade à cloud, todas elas partilham alguns principais principais, objetivos e padrões de arquitetura principais. Estes princípios e padrões de arquitetura para conectividade são típicos de muitas outras clouds SaaS. Ao mesmo tempo, são diferentes dos modelos de implementação típicos das clouds Plataforma como Serviço e Infraestrutura como Serviço, como o Microsoft Azure.

Uma das funcionalidades de arquitetura mais significativas do Microsoft 365 (que é muitas vezes mal interpretada ou mal interpretada por arquitetos de rede) é que é um serviço distribuído verdadeiramente global, no contexto da forma como os utilizadores se ligam ao mesmo. A localização do inquilino do Microsoft 365 de destino é importante para compreender a localidade de onde os dados do cliente são armazenados na cloud. No entanto, a experiência do utilizador com o Microsoft 365 não envolve a ligação direta a discos que contenham os dados. A experiência do utilizador com o Microsoft 365 (incluindo desempenho, fiabilidade e outras características de qualidade importantes) envolve a conectividade através de front doors de serviço altamente distribuídos que são aumentados horizontalmente em centenas de localizações da Microsoft em todo o mundo. Na maioria dos casos, a melhor experiência de utilizador é obtida ao permitir que a rede do cliente encaminhe pedidos de utilizador para o ponto de entrada de serviço do Microsoft 365 mais próximo. Isto é preferível em vez de ligar ao Microsoft 365 através de um ponto de saída numa localização ou região central.

Para a maioria dos clientes, os utilizadores do Microsoft 365 são distribuídos por várias localizações. Para obter os melhores resultados, os princípios descritos neste documento devem ser analisados do ponto de vista do aumento horizontal (não vertical). Ao mesmo tempo que se concentra na otimização da conectividade para o ponto de presença mais próximo na Rede Global da Microsoft e não na localização geográfica do inquilino do Microsoft 365. Essencialmente, isto significa que, embora os dados de inquilino do Microsoft 365 possam ser armazenados numa localização geográfica específica, a experiência do Microsoft 365 para esse inquilino permanece distribuída. Pode estar presente numa proximidade muito próxima (de rede) de todas as localizações de utilizador final que o inquilino tem.

Princípios de conectividade do Microsoft 365

A Microsoft recomenda os seguintes princípios para alcançar um desempenho e conectividade ideais do Microsoft 365. Utilize estes princípios de conectividade do Microsoft 365 para gerir o seu tráfego e obter o melhor desempenho ao ligar ao Microsoft 365.

O principal objetivo na conceção de rede deve ser minimizar a latência ao reduzir o tempo de ida e volta (RTT) da sua rede para a Rede Global da Microsoft, o backbone de rede pública da Microsoft que interliga todos os datacenters da Microsoft com baixa latência e pontos de entrada de aplicações na cloud espalhados pelo mundo. Pode saber mais sobre a Rede Global da Microsoft em Como a Microsoft cria a sua rede global rápida e fiável.

Identificar e diferenciar o tráfego do Microsoft 365

Identifique o tráfego do Microsoft 365.

Identificar o tráfego de rede do Microsoft 365 é o primeiro passo para conseguir diferenciar esse tráfego do tráfego de rede genérico vinculado à Internet. A conectividade do Microsoft 365 pode ser otimizada ao implementar uma combinação de abordagens como a otimização de rotas de rede, regras de firewall e definições de proxy do browser. Além disso, ignorar dispositivos de inspeção de rede para determinados pontos finais também é vantajoso.

Para obter mais informações sobre os métodos de otimização do Microsoft 365, veja a secção otimizar a conectividade aos serviços do Microsoft 365 .

A Microsoft publica agora todos os pontos finais do Microsoft 365 como um serviço Web e fornece orientações sobre a melhor forma de utilizar estes dados. Para obter mais informações sobre como obter e trabalhar com pontos finais do Microsoft 365, consulte o artigo Office 365 URLs e intervalos de endereços IP.

Ligações de rede de saída localmente

Ligações de rede de saída localmente.

O DNS local e a saída da Internet são de importância crítica para reduzir a latência da ligação e garantir que as ligações de utilizador são efetuadas ao ponto de entrada mais próximo dos serviços do Microsoft 365. Numa topologia de rede complexa, é importante implementar o DNS local e a saída da Internet local em conjunto. Para obter mais informações sobre como o Microsoft 365 encaminha as ligações de cliente para o ponto de entrada mais próximo, consulte o artigo Conectividade do Cliente.

Antes do advento de serviços cloud como o Microsoft 365, a conectividade à Internet do utilizador final como fator de conceção na arquitetura de rede era relativamente simples. Quando os serviços Internet e sites são distribuídos por todo o mundo, a latência entre pontos de saída empresariais e qualquer ponto final de destino específico é, em grande parte, uma função de distância geográfica.

Numa arquitetura de rede tradicional, todas as ligações à Internet de saída atravessam a rede empresarial e saem de uma localização central. À medida que as ofertas de cloud da Microsoft amadureceram, uma arquitetura de rede distribuída com acesso à Internet tornou-se fundamental para suportar serviços cloud sensíveis à latência. A Rede Global da Microsoft foi concebida para acomodar requisitos de latência com a infraestrutura do Front Door do Serviço Distribuído, um recurso de infraestrutura dinâmico de pontos de entrada globais que encaminha as ligações de serviço cloud de entrada para o ponto de entrada mais próximo. Isto destina-se a reduzir a duração da "última milha" para os clientes da Cloud da Microsoft ao encurtar efetivamente a rota entre o cliente e a cloud.

As WANs empresariais são muitas vezes concebidas para fazer backhaul de tráfego de rede para uma sede da empresa central para inspeção antes da saída para a Internet, normalmente através de um ou mais servidores proxy. O diagrama seguinte ilustra essa topologia de rede.

Modelo de rede empresarial tradicional.

Uma vez que o Microsoft 365 é executado na Rede Global da Microsoft, que inclui servidores front-end em todo o mundo, existe frequentemente um servidor front-end próximo da localização do utilizador. Ao fornecer saída da Internet local e ao configurar servidores DNS internos para fornecer resolução de nomes locais para pontos finais do Microsoft 365, o tráfego de rede destinado ao Microsoft 365 pode ligar-se aos servidores front-end do Microsoft 365 o mais próximo possível do utilizador. O diagrama seguinte mostra um exemplo de uma topologia de rede que permite que os utilizadores que se ligam a partir da sede, sucursal e localizações remotas sigam a rota mais curta para o ponto de entrada mais próximo do Microsoft 365.

Modelo de rede WAN com pontos de saída regionais.

Encurtar o caminho de rede para os pontos de entrada do Microsoft 365 desta forma pode melhorar o desempenho de conectividade e a experiência do utilizador final no Microsoft 365. Também pode ajudar a reduzir o efeito de futuras alterações à arquitetura de rede no desempenho e fiabilidade do Microsoft 365.

Além disso, os pedidos DNS podem introduzir latência se o servidor DNS que responde estiver distante ou ocupado. Pode minimizar a latência da resolução de nomes ao aprovisionar servidores DNS locais em localizações de ramo e garantir que estão configurados para colocar os registos DNS em cache adequadamente.

Embora a saída regional possa funcionar bem para o Microsoft 365, o modelo de conectividade ideal seria fornecer sempre saída de rede na localização do utilizador, independentemente de estar na rede empresarial ou em localizações remotas, como casas, hotéis, cafés e aeroportos. Este modelo de saída direta local é representado no diagrama seguinte.

Arquitetura de rede de saída local.

As empresas que adotaram o Microsoft 365 podem tirar partido da arquitetura do Front Door de Serviço Distribuído da Microsoft Global Network ao garantir que as ligações de utilizador ao Microsoft 365 seguem o caminho mais curto possível para o ponto de entrada da Microsoft Global Network mais próximo. A arquitetura de rede de saída local faz isto ao permitir que o tráfego do Microsoft 365 seja encaminhado através da saída mais próxima, independentemente da localização do utilizador.

A arquitetura de saída local tem os seguintes benefícios em função do modelo tradicional:

Proporciona um desempenho ideal do Microsoft 365 ao otimizar o comprimento da rota. As ligações de utilizador final são encaminhadas dinamicamente para o ponto de entrada do Microsoft 365 mais próximo pela infraestrutura do Front Door do Serviço Distribuído.
Reduz a carga na infraestrutura de rede empresarial ao permitir a saída local.
Protege as ligações em ambas as extremidades através da segurança do ponto final do cliente e das funcionalidades de segurança da cloud.

Evitar pinos de rede

Evite alfinetes.

Regra geral, a rota mais curta e direta entre o utilizador e o ponto final mais próximo do Microsoft 365 oferece o melhor desempenho. Um hairpin de rede ocorre quando o tráfego WAN ou VPN vinculado a um determinado destino é direcionado primeiro para outra localização intermédia (como a pilha de segurança, o mediador de acesso à cloud ou o gateway Web baseado na cloud), introduzindo latência e potencial redirecionamento para um ponto final geograficamente distante. Os pinos de rede também são causados por ineficiências de encaminhamento/peering ou pesquisas DNS subótimas (remotas).

Para garantir que a conectividade do Microsoft 365 não está sujeita a pinos de rede, mesmo no caso de saída local, verifique se o ISP que é utilizado para fornecer saída da Internet para a localização do utilizador tem uma relação de peering direto com a Rede Global da Microsoft próxima dessa localização. Também poderá querer configurar o encaminhamento de saída para enviar tráfego fidedigno do Microsoft 365 diretamente. Isto é contra o proxy ou o túnel através de um fornecedor de segurança de rede baseado na cloud ou de terceiros que processa o tráfego vinculado à Internet. A resolução de nomes DNS local dos pontos finais do Microsoft 365 ajuda a garantir que, além do encaminhamento direto, os pontos de entrada mais próximos do Microsoft 365 estão a ser utilizados para ligações de utilizador.

Se utilizar serviços de rede ou segurança baseados na cloud para o tráfego do Microsoft 365, certifique-se de que o resultado do hairpin é avaliado e que o seu efeito no desempenho do Microsoft 365 é compreendido. Isto pode ser feito ao examinar o número e as localizações das localizações do fornecedor de serviços através das quais o tráfego é reencaminhado em relação ao número de sucursais e pontos de peering da Rede Global da Microsoft, qualidade da relação de peering de rede do fornecedor de serviços com o seu ISP e Microsoft, e o efeito de desempenho da backhauling na infraestrutura do fornecedor de serviços.

Devido ao grande número de localizações distribuídas com pontos de entrada do Microsoft 365 e à sua proximidade com os utilizadores finais, encaminhar o tráfego do Microsoft 365 para qualquer fornecedor de rede ou segurança de terceiros pode ter um efeito adverso nas ligações do Microsoft 365 se a rede do fornecedor não estiver configurada para um peering ideal do Microsoft 365.

Avaliar proxies de ignorar, dispositivos de inspeção de tráfego e tecnologias de segurança duplicadas

Ignore proxies, dispositivos de inspeção de tráfego e tecnologias de segurança duplicadas.

Os clientes empresariais devem rever os respetivos métodos de segurança de rede e redução de risco especificamente para o tráfego vinculado do Microsoft 365 e utilizar as funcionalidades de segurança do Microsoft 365 para reduzir a dependência de tecnologias intrusivas, de impacto no desempenho e de segurança de rede dispendiosas para o tráfego de rede do Microsoft 365.

A maioria das redes empresariais impõe segurança de rede para o tráfego de Internet através de tecnologias como proxies, inspeção TLS, inspeção de pacotes e sistemas de prevenção de perda de dados. Estas tecnologias fornecem uma mitigação de risco importante para pedidos genéricos da Internet, mas podem reduzir significativamente o desempenho, a escalabilidade e a qualidade da experiência do utilizador final quando aplicadas aos pontos finais do Microsoft 365.

serviço Web Office 365 Endpoints

Os administradores do Microsoft 365 podem utilizar um script ou uma chamada REST para consumir uma lista estruturada de pontos finais do serviço Web Office 365 Pontos Finais e atualizar as configurações de firewalls de perímetro e outros dispositivos de rede. Isto garante que o tráfego vinculado ao Microsoft 365 é identificado, tratado adequadamente e gerido de forma diferente do tráfego de rede vinculado a sites genéricos e muitas vezes desconhecidos da Internet. Para obter mais informações sobre como utilizar o serviço Web Office 365 Endpoints, veja o artigo Office 365 URLs e intervalos de endereços IP.

Scripts PAC (Configuração Automática de Proxy)

Os administradores do Microsoft 365 podem criar scripts PAC (Configuração Automática de Proxy) que podem ser entregues a computadores de utilizador através de WPAD ou GPO. Os scripts PAC podem ser utilizados para ignorar proxies para pedidos do Microsoft 365 de utilizadores de WAN ou VPN, permitindo que o tráfego do Microsoft 365 utilize ligações diretas à Internet em vez de atravessar a rede empresarial.

Funcionalidades de segurança do Microsoft 365

A Microsoft é transparente sobre a segurança do datacenter, a segurança operacional e a redução de riscos em torno dos servidores do Microsoft 365 e dos pontos finais de rede que representam. As funcionalidades de segurança incorporadas do Microsoft 365 estão disponíveis para reduzir o risco de segurança de rede, como Prevenção de Perda de Dados do Microsoft Purview, Antivírus, autenticação multifator, Sistema de Proteção de Clientes, Defender para Office 365, Informações sobre Ameaças do Microsoft 365, Classificação de Segurança do Microsoft 365, Proteção do Exchange Online e Segurança de DDOS de Rede.

Para obter mais informações sobre o datacenter da Microsoft e a segurança da Rede Global, consulte o Centro de Confiança da Microsoft.

Otimizar a conectividade aos serviços do Microsoft 365

Os serviços do Microsoft 365 são uma coleção de produtos, aplicações e serviços dinâmicos, interdependentes e profundamente integrados. Ao configurar e otimizar a conectividade aos serviços do Microsoft 365, não é viável ligar pontos finais (domínios) específicos a alguns cenários do Microsoft 365 para implementar a listagem de permissões ao nível da rede. A Microsoft não suporta a listagem seletiva de permissões, uma vez que causa conectividade e incidentes de serviço para os utilizadores. Por conseguinte, os administradores de rede devem aplicar sempre as diretrizes do Microsoft 365 para a listagem de permissões de rede e otimizações de rede comuns ao conjunto completo de pontos finais de rede (domínios) necessários que são publicados e atualizados regularmente. Embora estejamos a simplificar os pontos finais de rede do Microsoft 365 em resposta ao feedback dos clientes, os administradores de rede devem estar cientes dos seguintes padrões principais no conjunto de pontos finais existente atualmente:

Sempre que possível, os pontos finais de domínio publicados incluirão carateres universais para reduzir significativamente o esforço de configuração de rede para os clientes.
O Microsoft 365 anunciou uma iniciativa de consolidação de domínios (cloud.microsoft), fornecendo aos clientes uma forma de simplificar as configurações de rede e acumular automaticamente otimizações de rede para este domínio para muitos serviços atuais e futuros do Microsoft 365.
Utilização exclusiva do domínio de raiz cloud.microsoft para isolamento de segurança e funções específicas. Isto permite que as equipas de segurança e rede de clientes confiem nos domínios do Microsoft 365, ao mesmo tempo que melhoram a conectividade a esses pontos finais e evitam o processamento de segurança de rede desnecessário.
Determinadas definições de ponto final especificam prefixos IP exclusivos correspondentes aos respetivos domínios. Esta funcionalidade suporta clientes com estruturas de rede complexas, permitindo-lhes aplicar otimizações de rede precisas através da utilização de detalhes do prefixo IP.

As seguintes configurações de rede são recomendadas para todos os pontos finais de rede (domínios) e categorias "Obrigatórios" do Microsoft 365:

Permitir explicitamente pontos finais de rede do Microsoft 365 nos dispositivos de rede e serviços através dos quais as ligações de utilizador passam (por exemplo, dispositivos de segurança de perímetro de rede como proxies, firewalls, DNS, soluções de segurança de rede baseadas na cloud, etc.)
Ignore os domínios do Microsoft 365 da desencriptação do TLS, da intercepção de tráfego, da inspeção de pacotes profunda e da filtragem de pacotes e conteúdos de rede. Tenha em atenção que muitos resultados para os quais os clientes estão a utilizar estas tecnologias de rede no contexto de aplicações não fidedignas/não geridas podem ser obtidos de forma nativa pelas funcionalidades de segurança do Microsoft 365.
O acesso direto à Internet deve ser priorizado para os domínios do Microsoft 365, reduzindo a dependência da rede alargada (WAN), evitando os pinos de rede e permitindo uma saída de Internet local mais eficiente para os utilizadores e diretamente para a rede da Microsoft.
Certifique-se de que a resolução de nomes DNS ocorre perto da saída de rede para garantir que as ligações são servidas através do Microsoft 365 front door mais ideal.
Priorize as ligações do Microsoft 365 ao longo do caminho de rede, garantindo capacidade e qualidade de serviço para experiências do Microsoft 365.
Ignorar dispositivos de intermediação de tráfego, como proxies e serviços VPN.

Os clientes com topologias de rede complexas, a implementação de otimizações de rede, como encaminhamento personalizado, desativação do proxy baseado em IP e VPN de túnel dividido, podem exigir informações de prefixo IP para além de domínios. Para facilitar estes cenários de cliente, os pontos finais de rede do Microsoft 365 são agrupados em categorias para priorizar e facilitar a configuração destas otimizações de rede adicionais. Os pontos finais de rede classificados nas categorias "Otimizar" e "Permitir" transportam volumes de tráfego elevados e são sensíveis à latência e ao desempenho da rede, e os clientes podem querer otimizar a conectividade aos mesmos primeiro. Os pontos finais de rede nas categorias "Otimizar" e "Permitir" têm endereços IP listados juntamente com domínios. Os pontos finais de rede classificados na categoria "Predefinição" não têm endereços IP associados, uma vez que são mais dinâmicos na natureza e os endereços IP mudam ao longo do tempo.

Considerações de rede adicionais

Ao otimizar a conectividade ao Microsoft 365, determinadas configurações de rede podem ter um impacto negativo na disponibilidade, interoperabilidade, desempenho e experiência do utilizador do Microsoft 365. A Microsoft não testou os seguintes cenários de rede com os nossos serviços e é sabido que causam problemas de conectividade.

Terminação TLS ou inspeção profunda de pacotes de quaisquer domínios M365 com proxies de cliente ou outros tipos de dispositivos ou serviços de rede (Utilize dispositivos ou soluções de rede de terceiros com o Microsoft 365 – Microsoft 365 | Microsoft Learn).
Bloquear protocolos específicos ou versões de protocolos, como QUIC, WebSockets, etc. por serviço ou infraestrutura de rede intermédia.
Forçar uma mudança para uma versão anterior ou ativação pós-falha de protocolos (como UDP --> TCP, TLS1.3 --> TLS1.2 --> TLS1.1) utilizados entre aplicações cliente e serviços do Microsoft 365.
Encaminhar ligações através da infraestrutura de rede ao aplicar a sua própria autenticação, como a autenticação de proxy.

Recomendamos que os clientes evitem utilizar estas técnicas de rede para o tráfego destinado a domínios do Microsoft 365 e ignorá-los para ligações do Microsoft 365.

A Microsoft recomenda a configuração de um sistema automatizado para transferir e aplicar regularmente a lista de pontos finais de rede do M365. Veja Gestão de alterações para endereços IP e URLs do Microsoft 365 para obter mais informações.

Comparar a segurança de perímetro de rede com a segurança do ponto final

O objetivo da segurança de rede tradicional é proteger o perímetro da rede empresarial contra intrusões e exploits maliciosos. À medida que as organizações adotam o Microsoft 365, alguns serviços de rede e dados são parcial ou completamente migrados para a cloud. Quanto a qualquer alteração fundamental à arquitetura de rede, este processo requer uma reavaliação da segurança de rede que tenha em conta os fatores emergentes:

À medida que os serviços cloud são adotados, os serviços de rede e os dados são distribuídos entre datacenters no local e a cloud, e a segurança de perímetro já não é adequada por si só.
Os utilizadores remotos ligam-se a recursos empresariais, tanto em datacenters no local como na cloud, a partir de localizações não controladas, como casas, hotéis e cafés.
As funcionalidades de segurança criadas de forma propositada estão cada vez mais incorporadas em serviços cloud e podem potencialmente complementar ou substituir sistemas de segurança existentes.

A Microsoft oferece uma vasta gama de funcionalidades de segurança do Microsoft 365 e fornece orientações prescritivas para a utilização de melhores práticas de segurança que podem ajudá-lo a garantir dados e segurança de rede para o Microsoft 365. As melhores práticas recomendadas incluem:

Utilizar a autenticação multifator (MFA) A MFA adiciona uma camada adicional de proteção a uma estratégia de palavra-passe forte, exigindo que os utilizadores reconheçam uma chamada telefónica, uma mensagem de texto ou uma notificação de aplicação no seu smartphone depois de introduzirem corretamente a palavra-passe.
Utilize Microsoft Defender for Cloud Apps Configurar políticas para controlar atividades anómalos e agir sobre a mesma. Configure alertas com Microsoft Defender for Cloud Apps para que os administradores possam rever a atividade de utilizador invulgar ou arriscada, como transferir grandes quantidades de dados, várias tentativas de início de sessão falhadas ou ligações a partir de endereços IP desconhecidos ou perigosos.
Configurar a Prevenção de Perda de Dados (DLP) O DLP permite-lhe identificar dados confidenciais e criar políticas que ajudam a impedir que os seus utilizadores partilhem os dados acidentalmente ou intencionalmente. O DLP funciona no Microsoft 365, incluindo Exchange Online, SharePoint Online e OneDrive, para que os seus utilizadores possam manter-se em conformidade sem interromperem o fluxo de trabalho.
Utilizar o Sistema de Proteção de Dados do Cliente Enquanto administrador do Microsoft 365, pode utilizar o Sistema de Proteção de Dados do Cliente para controlar a forma como um engenheiro de suporte da Microsoft acede aos seus dados durante uma sessão de ajuda. Nos casos em que o engenheiro necessita de acesso aos seus dados para resolver um problema, o Sistema de Proteção de Dados do Cliente permite-lhe aprovar ou rejeitar o pedido de acesso.
Utilize Office 365 a ferramenta de análise de segurança Classificação de Segurança A que recomenda o que pode fazer para reduzir ainda mais o risco. A Classificação de Segurança analisa as suas definições e atividades do Microsoft 365 e compara-as com uma linha de base estabelecida pela Microsoft. Obtém uma classificação com base no seu alinhamento com as melhores práticas de segurança.

Uma abordagem holística para uma segurança melhorada deve incluir a consideração do seguinte:

Mude a ênfase da segurança de perímetro para a segurança de pontos finais ao aplicar funcionalidades de segurança de cliente do Office e baseadas na nuvem.
- Encolher o perímetro de segurança para o datacenter
- Ativar a confiança equivalente para dispositivos de utilizador dentro do escritório ou em localizações remotas
- Concentre-se em proteger a localização dos dados e a localização do utilizador
- As máquinas de utilizador geridas têm maior confiança com a segurança de pontos finais
Gerir toda a segurança de informações de forma holística, não se concentrando apenas no perímetro
- Redefinir a WAN e a segurança da rede de perímetro ao permitir que o tráfego fidedigno ignore os dispositivos de segurança e separe dispositivos não geridos para redes de Wi-Fi convidados
- Reduzir os requisitos de segurança de rede do edge da WAN empresarial
- Alguns dispositivos de segurança de perímetro de rede, como firewalls, ainda são necessários, mas a carga diminui
- Garante a saída local do tráfego do Microsoft 365
As melhorias podem ser abordadas de forma incremental, conforme descrito na secção Otimização incremental . Algumas técnicas de otimização podem oferecer melhores rácios de custos/benefícios consoante a sua arquitetura de rede e deve escolher otimizações que façam mais sentido para a sua organização.

Para obter mais informações sobre segurança e conformidade do Microsoft 365, consulte os artigos Segurança do Microsoft 365 e Microsoft Purview.

Otimização incremental

Representámos o modelo de conectividade de rede ideal para SaaS anteriormente neste artigo, mas para muitas organizações grandes com arquiteturas de rede historicamente complexas, não é prático fazer diretamente todas estas alterações. Nesta secção, vamos abordar muitas alterações incrementais que podem ajudar a melhorar o desempenho e a fiabilidade do Microsoft 365.

Os métodos que irá utilizar para otimizar o tráfego do Microsoft 365 variam consoante a topologia de rede e os dispositivos de rede que implementou. As grandes empresas com muitas localizações e práticas de segurança de rede complexas precisam de desenvolver uma estratégia que inclua a maioria ou todos os princípios listados na secção princípios de conectividade do Microsoft 365 , enquanto as organizações mais pequenas só precisam de considerar um ou dois.

Pode abordar a otimização como um processo incremental, aplicando sucessivamente cada método. A tabela seguinte lista os principais métodos de otimização pela ordem do seu efeito na latência e fiabilidade para o maior número de utilizadores.

Método de otimização	Descrição	Impacto
Resolução de DNS local e saída da Internet	Aprovisione servidores DNS locais em cada localização e certifique-se de que as ligações do Microsoft 365 entram na Internet o mais perto possível da localização do utilizador.	Minimizar a latência Melhorar a conectividade fiável ao ponto de entrada mais próximo do Microsoft 365
Adicionar pontos de saída regionais	Se a sua rede empresarial tiver várias localizações, mas apenas um ponto de saída, adicione pontos de saída regionais para permitir que os utilizadores se liguem ao ponto de entrada mais próximo do Microsoft 365.	Minimizar a latência Melhorar a conectividade fiável ao ponto de entrada mais próximo do Microsoft 365
Ignorar proxies e dispositivos de inspeção	Configure browsers com ficheiros PAC que enviam pedidos do Microsoft 365 diretamente para pontos de saída. Configure routers e firewalls edge para permitir o tráfego do Microsoft 365 sem inspeção.	Minimizar a latência Reduzir a carga em dispositivos de rede
Ativar a ligação direta para utilizadores de VPN	Para os utilizadores de VPN, ative as ligações do Microsoft 365 para se ligarem diretamente a partir da rede do utilizador em vez de através do túnel VPN através da implementação de túneis divididos.	Minimizar a latência Melhorar a conectividade fiável ao ponto de entrada mais próximo do Microsoft 365
Migrar da WAN tradicional para a SD-WAN	SD-WANs (Redes Largas Definidas pelo Software) simplificam a gestão da WAN e melhoram o desempenho ao substituir os routers WAN tradicionais por aplicações virtuais, semelhantes à virtualização de recursos de computação através de máquinas virtuais (VMs).	Melhorar o desempenho e a capacidade de gestão do tráfego WAN Reduzir a carga em dispositivos de rede