Принципы сетевого подключения к Microsoft 365

Эта статья относится к Microsoft 365 корпоративный и Office 365 корпоративный.

Прежде чем приступить к планированию сети для сетевого подключения к Microsoft 365, важно понять принципы подключения для безопасного управления трафиком Microsoft 365 и получения максимальной производительности. Эта статья поможет вам понять новейшие рекомендации по безопасной оптимизации сетевого подключения Microsoft 365.

Традиционные корпоративные сети в первую очередь предназначены для предоставления пользователям доступа к приложениям и данным, размещенным в центрах обработки данных компании с надежной защитой периметра. Традиционная модель предполагает, что пользователи будут обращаться к приложениям и данным из периметра корпоративной сети, через каналы связи глобальной сети из филиалов или через VPN-подключения.

Внедрение приложений SaaS, таких как Microsoft 365, перемещает некоторую комбинацию служб и данных за пределы периметра сети. Без оптимизации трафик между пользователями и приложениями SaaS доставляется с задержкой, вызванной осмотром пакетов, разворотами пакетов, непреднамеренными подключениями к географически отдаленным конечным точкам и другими факторами. Вы можете обеспечить наилучшие производительность и надежность Microsoft 365, если поймете и реализуете основные рекомендации по оптимизации.

Из этой статьи вы узнаете об:

Архитектура Microsoft 365

Microsoft 365 — это распределенное облако на основе модели "программное обеспечение как услуга" (SaaS), которое реализует сценарии эффективной и совместной работы с помощью разнообразных микрослужб и приложений, таких как Exchange Online, SharePoint Online, Skype для бизнеса Online, Microsoft Teams, Exchange Online Protection, Office в браузере и многие другие. Несмотря на то что у определенных приложений Microsoft 365 могут быть уникальные функции, связанные с клиентскими сетями и подключением к облаку, все эти приложения объединяют некоторые основные принципы, цели и архитектурные шаблоны. Эти принципы и архитектурные шаблоны для подключения являются типичными для многих других облаков SaaS и в то же время отличаются от типичных моделей развертывания облаков на основе моделей "платформа как услуга" и "инфраструктура как услуга", например Microsoft Azure.

Одной из самых важных особенностей архитектуры Microsoft 365 (которую часто упускают из виду или неправильно понимают сетевые архитекторы) является то, что она представляет собой глобальную распределенную службу в контексте того, как к ней подключаются пользователи. Важно знать расположение целевого клиента Microsoft 365, чтобы понять, где в облаке располагаются данные клиентов, но во время работы с Microsoft 365 пользователи не подключаются непосредственно к дискам, содержащим данные. Взаимодействие пользователей с Microsoft 365 (включая производительность, надежность и другие важные качественные характеристики) включает подключение через входы в высокораспределенные службы, находящиеся в сотнях расположений Майкрософт по всему миру. В большинстве случаев максимальное удобство работы пользователей обеспечивается, если разрешить клиентской сети направлять запросы пользователей в ближайшую точку входа в службу Microsoft 365, а не подключаться к Microsoft 365 через точку выхода в центральном расположении или регионе.

Для большинства клиентов пользователи Microsoft 365 распределяются по множеству расположений. Для получения наилучших результатов описанные в этом документе принципы следует рассматривать с точки зрения горизонтального (а не вертикального) увеличения масштаба, сосредоточившись на оптимизации подключения к ближайшей точке присутствия в глобальной сети Майкрософт, а не географическому местоположению клиента Microsoft 365. По сути, это означает, что хотя данные клиента Microsoft 365 могут храниться в определенном географическом местоположении, среда Microsoft 365 для этого клиента остается распределенной и может находиться очень близко (в сети) к расположению каждого пользователя в клиенте.

Принципы подключения к Microsoft 365

Майкрософт рекомендует следовать приведенным ниже принципам для достижения оптимального подключения и производительности Microsoft 365. Следуйте эти принципам подключения в Microsoft 365, чтобы управлять трафиком и обеспечить наилучшую производительность при подключении к Microsoft 365.

Главная цель при проектировании сети — свести к минимуму задержку, сократив время кругового пути (RTT) из сети в глобальную сеть Майкрософт, общедоступную сетевую магистраль корпорации Майкрософт, которая соединяет все центры обработки данных Майкрософт с низкой задержкой и распределением точек входа в облачные приложения по всему миру. Дополнительные сведения о глобальной сети Майкрософт см. в статье Как Майкрософт строит свою быструю и надежную глобальную сеть.

Определение и дифференциация трафика Microsoft 365

Определение трафика Microsoft 365.

Определение сетевого трафика Microsoft 365 — первый этап отграничения этого трафика от обычного сетевого трафика, направленного в Интернет. Соединение с Microsoft 365 можно оптимизировать с помощью сочетания таких подходов, как оптимизация сетевых маршрутов, правила брандмауэра, параметры прокси-сервера в браузере и обход сетевых устройств проверки для определенных конечных точек.

В предыдущих рекомендациях по оптимизации Microsoft 365 конечные точки Microsoft 365 делились на две категории: обязательные и необязательные. По мере добавления конечных точек для поддержки новых служб и функций Microsoft 365 мы разделили конечные точки Microsoft 365 на три категории: Оптимизация, Разрешения и По умолчанию. Рекомендации для каждой категории распространяются на все конечные точки в этой категории, что упрощает понимание и реализацию средств оптимизации.

Дополнительные сведения о категориях конечных точек Microsoft 365 и способах оптимизации см. в разделе Новые категории конечных точек Office 365.

Теперь Майкрософт публикует все конечные точки Microsoft 365 в виде веб-службы и предоставляет рекомендации по оптимальному использованию этих данных. Дополнительные сведения о том, как получать конечные точки Microsoft 365 и работать с ними, см. в статье URL-адреса и диапазоны IP-адресов Office 365.

Локальная организация исходящего трафика для сетевых подключений

Локальная организация исходящего трафика для сетевых подключений.

Точки выхода из локальной службы DNS и Интернета крайне важны для сокращения задержки соединения и обеспечения подключения пользователей к ближайшей точке входа в службы Microsoft 365. В сложной сетевой топологии важно реализовать точки выхода из локальной службы DNS и Интернета вместе. Дополнительные сведения о том, как Microsoft 365 направляет клиентские подключения к ближайшей точке входа, см. в статье Клиентские подключения.

До появления облачных служб, таких как Microsoft 365, подключение пользователей к Интернету, как фактор проектирования сетевой архитектуры, было относительно простым. Если веб-службы и веб-сайты распределены по всему миру, задержка между корпоративными точками выхода и той или иной целевой конечной точкой, по большей части, зависит от географического расстояния.

В традиционной сетевой архитектуре все исходящие подключения к Интернету проходят по корпоративной сети и выходят из центрального расположения. По мере развития облачных предложений от Майкрософт распределенная сетевая архитектура с выходом в Интернет стала критически важна для поддержки чувствительных к задержке облачных служб. Глобальная сеть Майкрософт рассчитана на соблюдение требований к задержке в инфраструктуре распределенных точек входа в службы — динамической структуре глобальных точек входа, которая направляет входящие подключения к облачным службам в ближайшую точку входа. Это необходимо, чтобы уменьшить длину "последней мили" для облачных клиентов Майкрософт, сократив маршрут между клиентом и облаком.

Корпоративные глобальные сети часто проектируются с расчетом на обратную передачу сетевого трафика в главный офис центральной компании для проверки перед выходом в Интернет (как правило, через один или несколько прокси-серверов). На приведенной ниже схеме показана такая сетевая топология.

Традиционная корпоративная сетевая модель.

Так как Microsoft 365 работает в глобальной сети Майкрософт, включающей интерфейсные серверы по всему миру, рядом с расположением пользователя часто будет находиться сервер переднего плана. Предоставив локальные точки выхода в Интернет и настроив внутренние DNS-серверы на локальное разрешение имен для конечных точек Microsoft 365, сетевой трафик, адресованный службе Microsoft 365, можно подключать к серверам переднего плана Microsoft 365, находящимся максимально близко к пользователю. На приведенной ниже схеме показан пример сетевой топологии, с помощью которой пользователи могут подключаться из главного офиса, филиалов и удаленных расположений по кратчайшему маршруту к ближайшей точке входа в Microsoft 365.

Модель глобальной сети с региональными точками выхода.

Сократив таким образом сетевой путь к точкам входа в Microsoft 365, можно повысить производительность подключения и удобство работы пользователей с Microsoft 365, а также снизить влияние будущих изменений сетевой архитектуры на производительность и надежность Microsoft 365.

Кроме того, запросы DNS могут добавлять задержку, если отвечающий DNS-сервер находится далеко или занят. Вы можете свести к минимуму задержку разрешения имен, подготовив локальные DNS-серверы в филиалах и убедившись, что они настроены на кэширование записей DNS надлежащим образом.

Хотя региональный исходящий трафик может хорошо работать с Microsoft 365, в оптимальной модели подключения сетевые точки выхода всегда предоставляются в местоположении пользователя, будь то корпоративная сеть или удаленное расположение, например дом, гостиница, кафе или аэропорт. Такая модель прямого выхода представлена на приведенной ниже схеме.

Локальная сетевая архитектура исходящего трафика.

Предприятия, в которых используется Microsoft 365, могут применять архитектуру распределенных точек входа в службы в глобальной сети Майкрософт, обеспечивая кратчайший маршрут для подключений к Microsoft 365 до ближайшей точки входа в глобальную сеть Майкрософт. Сетевая архитектура с локальными точками выхода выполняет эту задачу, позволяя направлять трафик Microsoft 365 через ближайшую точку выхода, независимо от расположения пользователя.

Архитектура с локальными точками выхода имеет следующие преимущества перед традиционной моделью:

  • Обеспечивается оптимальная производительность Microsoft 365 благодаря оптимизации длины маршрутов. Инфраструктура распределенных точек входа в службы динамически направляет подключения пользователей в ближайшую точку входа в Microsoft 365.
  • Снижается нагрузка на корпоративную сетевую инфраструктуру благодаря использованию локальных точек выхода.
  • Подключения защищаются с обоих концов благодаря использованию функций защиты клиентских конечных точек и обеспечения безопасности в облаке.

Предотвращение разворотов пакетов

Предотвращение разворотов.

Как правило, кратчайший, самый прямой маршрут между пользователем и ближайшей конечной точкой Microsoft 365 обеспечивает наилучшую производительность. Разворот пакетов происходит, когда трафик WAN или VPN, адресованный определенному расположению, сначала направляется в другое промежуточное расположение (например, стек безопасности, брокер облачного доступа или облачный веб-шлюз), добавляющее задержку и потенциальное перенаправление в географически отдаленную конечную точку. Развороты пакетов также могут быть вызваны неэффективностью маршрутизации и пиринга или неоптимальным (удаленным) поиском DNS.

Чтобы убедиться, что при подключении к Microsoft 365 не происходят развороты пакетов (даже в случае локальных точек выхода), проверьте, установлены ли отношения прямого пиринга между поставщиком услуг Интернета, используемым для предоставления точек выхода в Интернет, и глобальной сетью Майкрософт, находящейся близко к этому расположению. Вы также можете настроить маршрутизацию исходящего трафика, чтобы отправлять доверенный трафик Microsoft 365 напрямую, а не через прокси-сервер или туннель стороннего облака или поставщика услуг защиты облачных сетей, который обрабатывает ваш трафик, направляемый в Интернет. Разрешение локальных DNS-имен в конечных точках Microsoft 365 помогает гарантировать, что помимо прямой маршрутизации, для подключений пользователей используются ближайшие точки входа в Microsoft 365.

Если вы используете облачные службы защиты сетей для трафика Microsoft 365, оцените результат разворота и его влияние на производительность Microsoft 365. Для этого можно проверить количество и расположения поставщиков услуг, через которые направляется трафик, относительно количества филиалов и точек пиринга глобальной сети Майкрософт, качество отношений сетевого пиринга поставщика услуг с вашим поставщиком услуг Интернета и Майкрософт, а также влияние обратной передачи в инфраструктуре поставщиков услуг на производительность.

Из-за большого количества распределенных расположений с точками входа в Microsoft 365 и их близости к пользователям направление трафика Microsoft 365 в стороннюю сеть или к поставщику безопасности может отрицательно влиять на подключения к Microsoft 365, если сеть поставщиков не настроена для оптимального пиринга Microsoft 365.

Оценка обхода прокси-серверов, устройств проверки трафика и дублирование технологий безопасности

Обход прокси-серверов, устройств проверки трафика и дублирование технологий безопасности.

Корпоративным клиентам следует проверить свои специальные методики защиты сети и снижения риска для трафика, адресованного службе Microsoft 365, и использовать функции обеспечения безопасности Microsoft 365, чтобы снизить зависимость от навязчивых, влияющих на производительность и дорогостоящих технологий сетевой безопасности для сетевого трафика в Microsoft 365.

В большинстве корпоративных сетей применяется сетевая защита интернет-трафика с помощью таких технологий, как прокси-серверы, проверка SSL, проверка пакетов и системы защиты от потери данных. Эти технологии выполняют важную задачу снижения риска для обычных интернет-запросов, но могут существенно снизить производительность, масштабируемость и удобство работы пользователей в отношении конечных точек Microsoft 365.

Веб-служба конечных точек Office 365

Администраторы Microsoft 365 могут использовать сценарий или вызов метода REST для применения структурированного списка конечных точек в веб-службе конечных точек Office 365 и обновлять конфигурации брандмауэров периметра и других сетевых устройств. Это гарантирует, что трафик, адресованный службе Microsoft 365, определяется, обрабатывается надлежащим образом и управляется не так, как сетевой трафик, направленный на обычные (и зачастую неизвестные) веб-сайты в Интернете. Дополнительные сведения о том, как использовать веб-службу конечных точек Office 365, см. в статье URL-адреса и диапазоны IP-адресов Office 365.

Сценарии PAC (автоматической настройки прокси-серверов)

Администраторы Microsoft 365 могут создавать сценарии PAC (автоматической настройки прокси-серверов), которые можно доставлять на компьютеры пользователей через WPAD или GPO. Сценарии PAC можно использовать для обхода прокси-серверов для запросов Microsoft 365 от пользователей WAN или VPN, позволяя трафику Microsoft 365 использовать прямые подключения к Интернету, а не проходить по корпоративной сети.

Функции обеспечения безопасности в Microsoft 365

Корпорация Майкрософт открыта в отношении безопасности центров обработки данных, операционной безопасности и снижения риска на серверах Microsoft 365 и в конечных точках сети, которые она представляет. В Microsoft 365 доступны встроенные функции безопасности для снижения рисков сетевой безопасности, такие как Защита от потери данных Microsoft Purview, антивирус, многофакторная проверка подлинности, блокировка клиентов, защитник для Office 365, Microsoft 365 Threat Intelligence, Microsoft 365 Secure Score, Exchange Online Protection и Network DDOS Security.

Дополнительные сведения о безопасности глобальной сети и центров обработки данных Майкрософт см. в Центре управления безопасностью Майкрософт.

Новые категории конечных точек Office 365

Конечные точки Office 365 представляют разнообразный набор сетевых адресов и подсетей. Конечные точки могут быть URL-адресами, IP-адресами или их диапазонами, а для некоторых конечных точек указаны конкретные порты TCP/UDP. URL-адреса могут быть либо полное доменное имя, например account.office.net, либо URL-адрес с подстановочными знаками, например *.office365.com.

Примечание.

Расположения конечных точек Office 365 в сети не связаны напрямую с расположением данных клиента Microsoft 365. По этой причине клиентам следует рассматривать Microsoft 365 как распределенную и глобальную службу и не пытаться блокировать сетевые подключения к конечным точкам Office 365 по географическим критериям.

В предыдущих рекомендациях по управлению трафиком Microsoft 365 конечные точки делились на две категории: обязательные и необязательные. Конечные точки в каждой категории нуждались в разных способах оптимизации в зависимости от важности службы, и у многих клиентов возникали трудности с обоснованием применения одних и тех же средств оптимизации ко всем URL- и IP-адресам Office 365.

В новой модели конечные точки делятся на три категории: Оптимизация, Разрешения и По умолчанию. Это помогает расставлять приоритеты для мер по оптимизации сети, чтобы обеспечить максимальную производительность и рентабельность инвестиций. Конечные точки делятся на вышеуказанные категории по тому, насколько чувствительна работа пользователей к качеству сети, объему и кривой производительности сценариев, а также простоте реализации. Рекомендуемые средства оптимизации можно одинаково применять ко всем конечным точкам из той или иной категории.

  • Конечные точки из категории Оптимизация требуются для подключения ко всем службам Office 365 и представляют более 75 % пропускной способности, подключений и объема данных Office 365. Эти конечные точки представляют сценарии Office 365, которые наиболее чувствительны к производительности, задержке и доступности сети. Все конечные точки размещаются в центрах обработки данных Майкрософт. Ожидаемая частота изменений конечных точек из этой категории намного ниже, чем у конечных точек из остальных двух категорий. Эта категория содержит небольшой (примерно 10) набор ключевых URL-адресов и определенный набор IP-подсетей специально для основных рабочих нагрузок Office 365, таких как Exchange Online, SharePoint Online, Skype для бизнеса Online и Microsoft Teams.

    Сокращенный список четко определенных критически важных конечных точек должен помочь вам быстрее и удобнее планировать и реализовать ценные средства оптимизации сети для этих целевых расположений.

    Примеры оптимизации конечныхhttps://outlook.office365.comточек: https://< tenant.sharepoint.com> и <https://-my.sharepoint.com>.

    Методы оптимизации:

    • Обход оптимизации конечных точек на сетевых устройствах и службах, которые выполняют перехват трафика, расшифровку SSL, глубокую проверку пакетов и фильтрацию содержимого.
    • Обход локальных прокси-устройств и облачных прокси-служб, обычно используемых для обычного просмотра в Интернете.
    • Определение приоритета оценки этих конечных точек как полностью доверенных сетевой инфраструктурой и системами периметра.
    • Определение приоритета для частичного или полного предотвращения обратной передачи в WAN и использование прямых распределенных точек выхода в Интернете, находящихся как можно ближе к пользователям или филиалам, для этих конечных точек.
    • Использование прямого подключения к этим облачным конечным точкам для пользователей VPN путем реализации раздельного туннелирования.
    • Гарантирование того, что IP-адреса, возвращаемые при разрешении DNS-имен, соответствуют пути маршрутизации исходящего трафика для этих конечных точек.
    • Определение приоритетов этих конечных точек для интеграции SD-WAN и прямой маршрутизации с минимальной задержкой в ближайшую точку интернет-пиринга в глобальной сети Майкрософт.
  • Конечные точки из категории Разрешения требуются для подключения к определенным службам и функциям Office 365, но не так чувствительны к производительности и задержке в сети, как конечные точки из категории Оптимизация. Расход ресурсов сети этими конечными точками (с точки зрения пропускной способности и количества подключений) также становится меньше. Эти конечные точки предназначены специально для Office 365 и размещаются в центрах хранения данных Майкрософт. Они представляют широкий набор Office 365 микрослужб и их зависимостей (в порядке около 100 URL-адресов) и должны изменяться с более высокой скоростью, чем в категории "Оптимизация". Не все конечные точки из этой категории связаны с определенными выделенными IP-подсетями.

    Оптимизация сети для конечных точек "Разрешить" может улучшить Office 365 пользователей, но некоторые клиенты могут ограничить область этих оптимизаций, чтобы свести к минимуму изменения в сети.

    Примеры разрешенных конечных точек : https://*.protection.outlook.com и https://accounts.accesscontrol.windows.net.

    Методы оптимизации:

    • Обход разрешения конечных точек на сетевых устройствах и службах, которые выполняют перехват трафика, расшифровку SSL, глубокую проверку пакетов и фильтрацию содержимого.
    • Определение приоритета оценки этих конечных точек как полностью доверенных сетевой инфраструктурой и системами периметра.
    • Определение приоритета для частичного или полного предотвращения обратной передачи в WAN и использование прямых распределенных точек выхода в Интернете, находящихся как можно ближе к пользователям или филиалам, для этих конечных точек.
    • Гарантирование того, что IP-адреса, возвращаемые при разрешении DNS-имен, соответствуют пути маршрутизации исходящего трафика для этих конечных точек.
    • Определение приоритетов этих конечных точек для интеграции SD-WAN и прямой маршрутизации с минимальной задержкой в ближайшую точку интернет-пиринга в глобальной сети Майкрософт.
  • Конечные точки из категории По умолчанию представляют службы Office 365 и их зависимости, которые не нуждаются в оптимизации и могут обслуживаться клиентскими сетями как обычный трафик, направляющийся в Интернет. Некоторые конечные точки из этой категории могут не размещаться в центрах обработки данных Майкрософт. Примеры включают и https://odc.officeapps.live.comhttps://appexsin.stb.s-msn.com.

Дополнительные сведения о методиках сетевой оптимизации в Office 365 см. в статье Управление конечными точками Office 365.

Сравнение защиты периметра сети с защитой конечных точек

Цель традиционной системы сетевой безопасности — укрепить защиту периметра корпоративной сети от вторжений и вредоносных эксплойтов. По мере того как в организациях внедряется Microsoft 365, некоторые сетевые службы и данные частично или полностью переносятся в облако. Что касается фундаментального изменения сетевой архитектуры, этот процесс требует повторной проверки сетевой безопасности с учетом возникающих факторов:

  • По мере внедрения облачных служб сетевые службы и данные распределяются между локальными центрами обработки данных и облаком, и одной лишь защиты периметра теперь недостаточно.
  • Удаленные пользователи подключаются к корпоративным ресурсам как в локальных центрах обработки данных, так и в облаке, из неконтролируемых расположений, таких как дома, гостиницы и кафе.
  • Специализированные функции обеспечения безопасности все больше встраиваются в облачные службы и в перспективе могут дополнять или заменять имеющиеся системы безопасности.

Корпорация Майкрософт предлагает широкий ассортимент функций обеспечения безопасности Microsoft 365 и предоставляет инструкции по реализации лучших методик защиты, которые помогут вам обеспечить безопасность данных и сетей для Microsoft 365. Ниже перечислены некоторые из рекомендуемых методик.

  • Использование многофакторной проверки подлинности (MFA). При использовании многофакторной проверки после правильного ввода пароля пользователям необходимо принять телефонный звонок, текстовое сообщение или уведомление в приложении на смартфоне.

  • Использование Microsoft Defender for Cloud Apps. Настройте политики для отслеживания аномальных действий и реагирования на них. Настройте в Microsoft Defender for Cloud Apps оповещения для администраторов об опасных или подозрительных действиях пользователей, таких как скачивание больших объемов данных, множество неудачных попыток входа или подключения с неизвестных или опасных IP-адресов.

  • Настройка защиты от потери данных (DLP). С помощью DLP можно определять конфиденциальные данные и создавать политики, предотвращающие случайное или намеренное разглашение информации сотрудниками. DLP применяется во всех службах Microsoft 365, включая Exchange Online, SharePoint Online и OneDrive, что позволяет соблюдать нормативные требования, не мешая работе пользователей.

  • Использование защищенного хранилища. С помощью защищенного хранилища администраторы Microsoft 365 могут управлять доступом сотрудников службы поддержки Майкрософт к своим данным. Если сотруднику службы поддержки требуется получить доступ к данным для устранения неполадок, защищенное хранилище позволяет утвердить или отклонить запрос.

  • Использование Оценки безопасности Office 365. Средство анализа, которое рекомендует, что можно сделать, чтобы снизить риск. Оценка безопасности проверяет параметры Microsoft 365 и действия в службе, а затем сравнивает их с базовыми показателями, установленными корпорацией Майкрософт. Оценка будет зависеть от того, насколько ваша система соответствует рекомендациям по безопасности.

В комплексном подходе к усиленной безопасности должны учитываться перечисленные ниже факторы.

  • Смещение акцента с безопасности периметра на безопасность конечных точек путем применения функций защиты в облаке и клиенте Office.
    • Уменьшение периметра безопасности до масштаба центра обработки данных.
    • Обеспечение эквивалентного доверия для устройств пользователей в офисе и удаленных расположениях.
    • Приоритет отдается защите расположений данных и пользователей.
    • Управляемые пользовательские компьютеры пользуются большим доверием в системе безопасности конечных точек.
  • Комплексное управление всеми аспектами информационной безопасности, где внимание уделяется не только периметру.
    • Переопределение глобальной сети и обеспечение безопасности сети периметра, где доверенному трафику разрешается обходить устройства защиты, а неуправляемые устройства размещаются в отдельных гостевых сетях Wi-Fi.
    • Снижение требований пограничной корпоративной глобальной сети к сетевой безопасности.
    • Некоторые устройства защиты периметра сети, например брандмауэры, по-прежнему необходимы, но нагрузка снижена.
    • Создание локальных точек выхода для трафика Microsoft 365.
  • Улучшения можно вносить поэтапно, как описано в разделе Добавочная оптимизация. Некоторые методики оптимизации могут отличаться лучшим соотношением цены к преимуществам в зависимости от сетевой архитектуры, и следует выбирать средства оптимизации, которые лучше всего подходят для вашей организации.

Подробнее о безопасности и соответствии требованиям Microsoft 365 см. в статьях Безопасность Microsoft 365 и Microsoft Purview.

Добавочная оптимизация

Ранее в этой статье мы представили идеальную модель сетевого подключения для SaaS, но для многих крупных организаций со сложными сетевыми архитектурами непрактично напрямую вносить все эти изменения. В этом разделе мы обсудим ряд добавочных изменений, который могут помочь повысить производительность и надежность Microsoft 365.

Используемые способы оптимизации трафика Microsoft 365 зависят от топологии сети и внедренных сетевых устройств. Крупным предприятиям со множеством расположений и сложными методиками сетевой защиты необходимо разработать стратегию, включающую многие или все принципы, перечисленные в разделе Принципы подключения к Microsoft 365, а небольшим организациям достаточно одного или двух.

Оптимизацию можно рассматривать как поэтапный процесс, в ходе которого методики добавляются по очереди. В приведенной ниже таблице перечислены основные способы оптимизации, упорядоченные по их влиянию на задержку и надежность для наибольшего количества пользователей.

Способ оптимизации Описание Влияние
Локальное разрешение DNS-имен и точки выхода в Интернет
Подготовьте локальные DNS-серверы в каждом расположении и убедитесь, что точки выхода подключений к Microsoft 365 в Интернет находятся как можно ближе к расположению пользователя.
Сведение задержки к минимуму
Повышение надежности подключения к ближайшей точке входа в Microsoft 365
Добавление региональных точек выхода
Если в вашей корпоративной сети есть несколько расположений, но только одна точка выхода, добавьте региональные точки выхода, чтобы пользователи могли подключаться к ближайшей точке входа в Microsoft 365.
Сведение задержки к минимуму
Повышение надежности подключения к ближайшей точке входа в Microsoft 365
Обход прокси-серверов и устройств проверки
Настройте браузеры с помощью PAC-файлов, которые отправляют запросы Microsoft 365 непосредственно в точки выхода.
Настройте пограничные маршрутизаторы и брандмауэры, чтобы они разрешали трафик Microsoft 365 без проверки.
Сведение задержки к минимуму
Снижение нагрузки на сетевые устройства
Разрешение прямого подключения для пользователей VPN
Добавьте для пользователей VPN возможность подключения к Microsoft 365 непосредственно из сети пользователя, а не через VPN-туннель, с помощью раздельного туннелирования.
Сведение задержки к минимуму
Повышение надежности подключения к ближайшей точке входа в Microsoft 365
Переход с традиционных сетей WAN на SD-WAN
SD-WAN (программно-определяемые глобальные сети) упрощают управление глобальными сетями и повышают производительность, заменяя традиционные маршрутизаторы WAN виртуальными устройствами, подобно виртуализации вычислительных ресурсов с помощью виртуальных машин (VM).
Повышение производительности и управляемости трафика WAN
Снижение нагрузки на сетевые устройства

Обзор сетевого подключения Microsoft 365

Управление конечными точками Office 365

URL-адреса и диапазоны IP-адресов для Office 365

Веб-служба IP-адресов и URL-адресов в Office 365

Оценка сетевого подключения Microsoft 365

Планирование сети и настройка производительности для Microsoft 365

Настройка производительности Office 365 с помощью базовых показателей и журнала производительности

План устранения проблем с производительностью Office 365

Сети доставки содержимого

Проверка подключения Microsoft 365

Как Майкрософт строит свою быструю и надежную глобальную сеть

Блог, посвященный сетям для Office 365