Implementar o túnel dividido de VPN para o Microsoft 365

Artigo
12/21/2023

Nota

Este artigo faz parte de um conjunto de artigos que abordam a otimização do Microsoft 365 para utilizadores remotos.

Para obter uma descrição geral da utilização do túnel dividido de VPN para otimizar a conectividade do Microsoft 365 para utilizadores remotos, consulte Descrição geral: túnel dividido de VPN para o Microsoft 365.
Para obter uma lista detalhada dos cenários de túnel dividido de VPN, veja Cenários comuns de túnel dividido de VPN para o Microsoft 365.
Para obter orientações sobre como proteger o tráfego de multimédia do Teams em ambientes de túnel divididos de VPN, veja Proteger o tráfego de multimédia do Teams para túnel dividido de VPN.
Para obter informações sobre como configurar o Stream e eventos em direto em ambientes VPN, veja Considerações especiais sobre o Stream e eventos em direto em ambientes VPN.
Para obter informações sobre como otimizar o desempenho de inquilinos do Microsoft 365 em todo o mundo para utilizadores na China, consulte Otimização do desempenho do Microsoft 365 para utilizadores chineses.

A estratégia recomendada da Microsoft para otimizar a conectividade da função de trabalho remoto concentra-se na mitigação rápida de problemas e no fornecimento de um elevado desempenho com alguns passos simples. Estes passos ajustam a abordagem VPN legada para alguns pontos finais definidos que ignoram servidores VPN com estrangulamento. Um modelo de segurança equivalente ou mesmo superior pode ser aplicado em camadas diferentes para remover a necessidade de proteger todo o tráfego na saída da rede empresarial. Na maioria dos casos, isto pode ser conseguido de forma eficaz dentro de horas e, em seguida, é dimensionável para outras cargas de trabalho, como os requisitos exigem e o tempo permitem.

Implementar o túnel dividido de VPN

Neste artigo, encontrará os passos simples necessários para migrar a arquitetura do cliente VPN de um túnel forçado de VPN para um túnel forçado de VPN com algumas exceções fidedignas, modelo de túnel dividido de VPN n.º 2 em cenários comuns de túnel dividido de VPN para o Microsoft 365.

O diagrama abaixo ilustra como funciona a solução de túnel dividido de VPN recomendada:

Detalhe da solução de VPN de túnel dividido.

1. Identificar os pontos finais a otimizar

No artigo Intervalos de URLs e endereços IP do Microsoft 365 , a Microsoft identifica claramente os pontos finais principais de que precisa para os otimizar e categoriza como Otimizar. Atualmente, existem apenas quatro URLS e 20 sub-redes IP que precisam de ser otimizadas. Este pequeno grupo de pontos finais representa cerca de 70% – 80% do volume de tráfego para o serviço Microsoft 365, incluindo os pontos finais sensíveis à latência, como os do suporte de dados do Teams. Essencialmente, este é o tráfego que precisamos de ter especial cuidado e é também o tráfego que irá exercer uma pressão incrível sobre os caminhos de rede tradicionais e a infraestrutura VPN.

Os URLs nesta categoria têm as seguintes características:

Os pontos finais geridos e pertencentes à Microsoft estão alojados na infraestrutura da Microsoft
Foram fornecidos IPs
Baixa taxa de alteração e espera-se que permaneça pequena em número (atualmente 20 sub-redes IP)
A largura de banda e/ou a latência são sensíveis
São capazes de ter os elementos de segurança necessários fornecidos no serviço em vez de inline na rede
Contabilize cerca de 70 a 80% do volume de tráfego para o serviço Microsoft 365

Para obter mais informações sobre os pontos finais do Microsoft 365 e como são categorizados e geridos, consulte Gerir pontos finais do Microsoft 365.

Otimizar URLs

Os URLs de Otimização atuais podem ser encontrados na tabela abaixo. Na maioria das circunstâncias, só deve utilizar pontos finais de URL num ficheiro PAC do browser onde os pontos finais estão configurados para serem enviados diretamente, em vez de para o proxy.

Otimizar URLs	Porta/Protocolo	Objetivo
https://outlook.office365.com	TCP 443	Este é um dos URLs principais que o Outlook utiliza para ligar ao respetivo servidor Exchange Online e tem um elevado volume de utilização de largura de banda e contagem de ligações. É necessária baixa latência de rede para funcionalidades online, incluindo: pesquisa instantânea, outros calendários de caixa de correio, pesquisa de disponibilidade, gerir regras e alertas, arquivo online do Exchange, e-mails que saem da caixa de saída.
https://outlook.office.com	TCP 443	Este URL é utilizado para o Outlook Online Web Access ligar ao servidor Exchange Online e é sensível à latência de rede. A conectividade é particularmente necessária para carregamento e transferência de ficheiros grandes com o SharePoint Online.
`https://\<tenant\>.sharepoint.com`	TCP 443	Este é o URL principal do SharePoint Online e tem uma utilização de largura de banda elevada.
`https://\<tenant\>-my.sharepoint.com`	TCP 443	Este é o URL principal para OneDrive para Empresas e tem uma utilização de largura de banda elevada e, possivelmente, uma contagem elevada de ligações da ferramenta OneDrive para Empresas Sync.
IPs de Multimédia do Teams (sem URL)	UDP 3478, 3479, 3480 e 3481	Alocação de Deteção de Reencaminhamento e tráfego em tempo real. Estes são os pontos finais utilizados para Skype para Empresas e tráfego de Multimédia do Microsoft Teams (chamadas, reuniões, etc.). A maioria dos pontos finais são fornecidos quando o cliente do Microsoft Teams estabelece uma chamada (e estão contidos nos IPs necessários listados para o serviço). A utilização do protocolo UDP é necessária para uma qualidade de suporte de dados ideal.

Nos exemplos acima, o inquilino deve ser substituído pelo seu nome de inquilino do Microsoft 365. Por exemplo, contoso.onmicrosoft.com utilizaria contoso.sharepoint.com e contoso-my.sharepoint.com.

Otimizar intervalos de endereços IP

No momento da escrita, os intervalos de endereços IP aos quais estes pontos finais correspondem são os seguintes. Recomendamos vivamente que utilize um script como este exemplo, o serviço Web IP e URL do Microsoft 365 ou a página URL/IP para verificar se existem atualizações ao aplicar a configuração e implementar uma política para o fazer regularmente. Se estiver a utilizar a avaliação de acesso contínuo, veja Variação do endereço IP de avaliação de acesso contínuo. O encaminhamento de IPs otimizados através de um IP ou VPN fidedigno pode ser necessário para impedir que blocos relacionados com insufficient_claims ou a verificação da Imposição de IP Instantânea falhe em determinados cenários.

104.146.128.0/17
13.107.128.0/22
13.107.136.0/22
13.107.18.10/31
13.107.6.152/31
13.107.64.0/18
131.253.33.215/32
132.245.0.0/16
150.171.32.0/22
150.171.40.0/22
204.79.197.215/32
23.103.160.0/20
40.104.0.0/15
40.108.128.0/17
40.96.0.0/13
52.104.0.0/14
52.112.0.0/14
52.96.0.0/14
52.122.0.0/15

2. Otimizar o acesso a estes pontos finais através da VPN

Agora que identificámos estes pontos finais críticos, temos de os desviar do túnel VPN e permitir que utilizem a ligação à Internet local do utilizador para se ligarem diretamente ao serviço. A forma como isto é realizado irá variar consoante o produto VPN e a plataforma de máquinas utilizadas, mas a maioria das soluções VPN permitirá que alguma configuração simples da política aplique esta lógica. Para obter informações sobre a orientação do túnel dividido específico da plataforma VPN, veja Guias DE PROCEDIMENTOs para plataformas VPN comuns.

Se quiser testar a solução manualmente, pode executar o seguinte exemplo do PowerShell para emular a solução ao nível da tabela de rotas. Este exemplo adiciona uma rota para cada uma das sub-redes IP do Teams Media na tabela de rotas. Pode testar o desempenho de multimédia do Teams antes e depois e observar a diferença nas rotas dos pontos finais especificados.

Exemplo: Adicionar sub-redes IP de Multimédia do Teams à tabela de rotas

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
$destPrefix = "52.120.0.0/14", "52.112.0.0/14", "13.107.64.0/18" # Teams Media endpoints
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

No script acima, $intIndex é o índice da interface ligada à Internet (localize ao executar get-netadapter no PowerShell; procure o valor de ifIndex) e $gateway é o gateway predefinido dessa interface (localize ao executar o ipconfig numa linha de comandos ou (Get-NetIPConfiguration | Foreach IPv4DefaultGateway). NextHop no PowerShell).

Depois de adicionar as rotas, pode confirmar que a tabela de rotas está correta ao executar a impressão da rota numa linha de comandos ou no PowerShell. O resultado deve conter as rotas que adicionou, que mostram o índice de interface (22 neste exemplo) e o gateway para essa interface (192.168.1.1 neste exemplo):

Saída de impressão da rota.

Para adicionar rotas para todos os intervalos de endereços IP atuais na categoria Otimizar, pode utilizar a seguinte variação de script para consultar o ip e o serviço Web de URL do Microsoft 365 para o conjunto atual de sub-redes De otimizar IP e adicioná-las à tabela de rotas.

Exemplo: Adicionar todas as sub-redes Otimizar à tabela de rotas

$intIndex = "" # index of the interface connected to the internet
$gateway = "" # default gateway of that interface
# Query the web service for IPs in the Optimize category
$ep = Invoke-RestMethod ("https://endpoints.office.com/endpoints/worldwide?clientrequestid=" + ([GUID]::NewGuid()).Guid)
# Output only IPv4 Optimize IPs to $optimizeIps
$destPrefix = $ep | where {$_.category -eq "Optimize"} | Select-Object -ExpandProperty ips | Where-Object { $_ -like '*.*' }
# Add routes to the route table
foreach ($prefix in $destPrefix) {New-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

Se adicionou inadvertidamente rotas com parâmetros incorretos ou simplesmente pretender reverter as alterações, pode remover as rotas que acabou de adicionar com o seguinte comando:

foreach ($prefix in $destPrefix) {Remove-NetRoute -DestinationPrefix $prefix -InterfaceIndex $intIndex -NextHop $gateway}

O cliente VPN deve ser configurado para que o tráfego para os IPs de Otimização seja encaminhado desta forma. Isto permite que o tráfego utilize recursos locais da Microsoft, como o Microsoft 365 Service Front Doors, como o Azure Front Door , que fornece serviços do Microsoft 365 e pontos finais de conectividade o mais próximo possível dos seus utilizadores. Isto permite-nos fornecer níveis de desempenho elevados aos utilizadores onde quer que estejam no mundo e tira o máximo partido da rede global de classe mundial da Microsoft, que provavelmente está a poucos milissegundos da saída direta dos seus utilizadores.

Guias HOWTO para plataformas VPN comuns

Esta secção fornece ligações para guias detalhados para implementar túneis divididos para o tráfego do Microsoft 365 dos parceiros mais comuns neste espaço. Iremos adicionar guias adicionais à medida que estiverem disponíveis.