Принципы сетевого подключения к Microsoft 365

Эта статья относится к Microsoft 365 корпоративный и Office 365 корпоративный.

Прежде чем приступить к планированию сетевого подключения Microsoft 365, важно понять принципы подключения для безопасного управления трафиком Microsoft 365 и обеспечения максимальной производительности. Эта статья поможет вам понять последние рекомендации по безопасной оптимизации сетевых подключений Microsoft 365.

Традиционные корпоративные сети в первую очередь предназначены для предоставления пользователям доступа к приложениям и данным, размещенным в центрах обработки данных компании с надежной защитой периметра. Традиционная модель предполагает, что пользователи будут обращаться к приложениям и данным из периметра корпоративной сети, через каналы связи глобальной сети из филиалов или через VPN-подключения.

Внедрение приложений SaaS, таких как Microsoft 365, перемещает некоторую комбинацию служб и данных за пределы периметра сети. Без оптимизации трафик между пользователями и приложениями SaaS доставляется с задержкой, вызванной осмотром пакетов, разворотами пакетов, непреднамеренными подключениями к географически отдаленным конечным точкам и другими факторами. Вы можете обеспечить наилучшие производительность и надежность Microsoft 365, если поймете и реализуете основные рекомендации по оптимизации.

В этой статье вы узнаете о следующих возможностях:

• архитектуре Microsoft 365 в отношении подключения клиентов к облаку;
• обновленных принципах подключения Microsoft 365 и стратегиях оптимизации сетевого трафика и пользовательского интерфейса;
• веб-службе конечных точек Office 365, позволяющей сетевым администраторам использовать структурированный список конечных точек для сетевой оптимизации;
• новых категориях конечных точек Office 365 и рекомендациях по оптимизации;
• сравнении защиты периметра сети с защитой конечных точек;
• вариантах добавочной оптимизации для трафика Microsoft 365;
• тестировании подключения Microsoft 365, новом инструменте для тестирования основных возможностей подключения к Microsoft 365.

Архитектура Microsoft 365

Microsoft 365 — это распределенное облако SaaS (программное обеспечение как услуга), которое обеспечивает сценарии повышения производительности и совместной работы с помощью разнообразного набора микрослужб и приложений. Например, Exchange Online, SharePoint Online, Skype для бизнеса Online, Microsoft Teams, Exchange Online Protection, Office в браузере и многие другие. Хотя определенные приложения Microsoft 365 могут иметь свои уникальные функции, так как они применяются к клиентской сети и подключению к облаку, все они используют некоторые ключевые принципы, цели и шаблоны архитектуры. Эти принципы и шаблоны архитектуры для подключения являются типичными для многих других облаков SaaS. В то же время они отличаются от типичных моделей развертывания облаков "платформа как услуга" и "инфраструктура как услуга", таких как Microsoft Azure.

Одной из наиболее важных архитектурных особенностей Microsoft 365 (которую архитекторы сети часто упускают или неправильно интерпретируют) является то, что это действительно глобальная распределенная служба в контексте подключения пользователей к ней. Расположение целевого клиента Microsoft 365 важно для понимания расположения, в котором хранятся данные клиента в облаке. Однако взаимодействие с Microsoft 365 не предполагает прямого подключения к дискам, содержащим данные. Взаимодействие пользователей с Microsoft 365 (включая производительность, надежность и другие важные качественные характеристики) включает подключение через входы в высокораспределенные службы, находящиеся в сотнях расположений Майкрософт по всему миру. В большинстве случаев лучший пользовательский интерфейс достигается за счет того, что клиентская сеть может направлять запросы пользователей в ближайшую точку входа в службу Microsoft 365. Это предпочтительнее, чем подключение к Microsoft 365 через точку исходящего трафика в центральном расположении или регионе.

Для большинства клиентов пользователи Microsoft 365 распределяются по множеству расположений. Для достижения наилучших результатов принципы, изложенные в этом документе, должны рассматриваться с точки зрения горизонтального (а не горизонтального увеличения масштаба). Кроме того, основное внимание уделяется оптимизации подключения к ближайшей точке присутствия в глобальной сети Майкрософт, а не к географическому расположению клиента Microsoft 365. По сути, это означает, что хотя данные клиента Microsoft 365 могут храниться в определенном географическом расположении, интерфейс Microsoft 365 для этого клиента остается распределенным. Он может находиться в очень близком расположении (сети) к каждому расположению конечного пользователя, которое имеет клиент.

Принципы подключения к Microsoft 365

Майкрософт рекомендует следовать приведенным ниже принципам для достижения оптимального подключения и производительности Microsoft 365. Следуйте эти принципам подключения в Microsoft 365, чтобы управлять трафиком и обеспечить наилучшую производительность при подключении к Microsoft 365.

Главная цель при проектировании сети — свести к минимуму задержку, сократив время кругового пути (RTT) из сети в глобальную сеть Майкрософт, общедоступную сетевую магистраль корпорации Майкрософт, которая соединяет все центры обработки данных Майкрософт с низкой задержкой и распределением точек входа в облачные приложения по всему миру. Дополнительные сведения о глобальной сети Майкрософт см. в статье Как Майкрософт строит свою быструю и надежную глобальную сеть.

Определение и дифференциация трафика Microsoft 365

Определение сетевого трафика Microsoft 365 — первый этап отграничения этого трафика от обычного сетевого трафика, направленного в Интернет. Подключение к Microsoft 365 можно оптимизировать, реализовав сочетание таких подходов, как оптимизация сетевых маршрутов, правила брандмауэра, параметры прокси-сервера браузера. Кроме того, полезно обойти устройства проверки сети для определенных конечных точек.

В предыдущих рекомендациях по оптимизации Microsoft 365 конечные точки Microsoft 365 делились на две категории: обязательные и необязательные. По мере добавления конечных точек для поддержки новых служб и функций Microsoft 365 мы разделили конечные точки Microsoft 365 на три категории: Оптимизация, Разрешения и По умолчанию. Рекомендации для каждой категории применяются ко всем конечным точкам в категории, что упрощает понимание и реализацию оптимизаций.

Дополнительные сведения о категориях конечных точек Microsoft 365 и способах оптимизации см. в разделе Новые категории конечных точек Office 365.

Теперь Майкрософт публикует все конечные точки Microsoft 365 в виде веб-службы и предоставляет рекомендации по оптимальному использованию этих данных. Дополнительные сведения о том, как получать конечные точки Microsoft 365 и работать с ними, см. в статье URL-адреса и диапазоны IP-адресов Office 365.

Локальная организация исходящего трафика для сетевых подключений

Точки выхода из локальной службы DNS и Интернета крайне важны для сокращения задержки соединения и обеспечения подключения пользователей к ближайшей точке входа в службы Microsoft 365. В сложной топологии сети важно реализовать как локальный DNS, так и локальный исходящий интернет-трафик вместе. Дополнительные сведения о том, как Microsoft 365 направляет клиентские подключения к ближайшей точке входа, см. в статье Клиентские подключения.

До появления облачных служб, таких как Microsoft 365, подключение пользователей к Интернету, как фактор проектирования сетевой архитектуры, было относительно простым. Если веб-службы и веб-сайты распределены по всему миру, задержка между корпоративными точками выхода и той или иной целевой конечной точкой, по большей части, зависит от географического расстояния.

В традиционной сетевой архитектуре все исходящие подключения к Интернету проходят по корпоративной сети и выходят из центрального расположения. По мере развития облачных предложений от Майкрософт распределенная сетевая архитектура с выходом в Интернет стала критически важна для поддержки чувствительных к задержке облачных служб. Глобальная сеть Майкрософт рассчитана на соблюдение требований к задержке в инфраструктуре распределенных точек входа в службы — динамической структуре глобальных точек входа, которая направляет входящие подключения к облачным службам в ближайшую точку входа. Это необходимо, чтобы уменьшить длину "последней мили" для облачных клиентов Майкрософт, сократив маршрут между клиентом и облаком.

Корпоративные глобальные сети часто проектируются с расчетом на обратную передачу сетевого трафика в главный офис центральной компании для проверки перед выходом в Интернет (как правило, через один или несколько прокси-серверов). На следующей схеме показана такая топология сети.

Так как Microsoft 365 работает в глобальной сети Майкрософт, которая включает интерфейсные серверы по всему миру, интерфейсный сервер часто находится рядом с расположением пользователя. Предоставив локальные точки выхода в Интернет и настроив внутренние DNS-серверы на локальное разрешение имен для конечных точек Microsoft 365, сетевой трафик, адресованный службе Microsoft 365, можно подключать к серверам переднего плана Microsoft 365, находящимся максимально близко к пользователю. На следующей схеме показан пример топологии сети, которая позволяет пользователям, подключающимся из main офиса, филиала и удаленных расположений, следовать кратчайшему маршруту к ближайшей точке входа Microsoft 365.

Сокращение сетевого пути к точкам входа Microsoft 365 таким образом может повысить производительность подключения и взаимодействие с конечными пользователями в Microsoft 365. Это также может помочь уменьшить влияние будущих изменений сетевой архитектуры на производительность и надежность Microsoft 365.

Кроме того, запросы DNS могут добавлять задержку, если отвечающий DNS-сервер находится далеко или занят. Вы можете свести к минимуму задержку разрешения имен, подготовив локальные DNS-серверы в расположениях филиалов и убедившись, что они настроены для соответствующего кэширования записей DNS.

Хотя региональный исходящий трафик может хорошо работать для Microsoft 365, оптимальная модель подключения заключается в том, чтобы всегда предоставлять исходящий сетевой трафик в расположении пользователя, независимо от того, находится ли он в корпоративной сети или удаленных расположениях, таких как дома, отели, кафе и аэропорты. Эта модель локального прямого исходящего трафика представлена на следующей схеме.

Предприятия, в которых используется Microsoft 365, могут применять архитектуру распределенных точек входа в службы в глобальной сети Майкрософт, обеспечивая кратчайший маршрут для подключений к Microsoft 365 до ближайшей точки входа в глобальную сеть Майкрософт. Сетевая архитектура с локальными точками выхода выполняет эту задачу, позволяя направлять трафик Microsoft 365 через ближайшую точку выхода, независимо от расположения пользователя.

Архитектура с локальными точками выхода имеет следующие преимущества перед традиционной моделью:

• Обеспечивается оптимальная производительность Microsoft 365 благодаря оптимизации длины маршрутов. Инфраструктура распределенных точек входа в службы динамически направляет подключения пользователей в ближайшую точку входа в Microsoft 365.
• Снижается нагрузка на корпоративную сетевую инфраструктуру благодаря использованию локальных точек выхода.
• Защищает подключения на обоих концах с помощью функций безопасности конечных точек клиента и облачной безопасности.

Предотвращение разворотов пакетов

Как правило, самый короткий и прямой маршрут между пользователем и ближайшей конечной точкой Microsoft 365 обеспечивает наилучшую производительность. Разворот пакетов происходит, когда трафик WAN или VPN, адресованный определенному расположению, сначала направляется в другое промежуточное расположение (например, стек безопасности, брокер облачного доступа или облачный веб-шлюз), добавляющее задержку и потенциальное перенаправление в географически отдаленную конечную точку. Сетевые шпильки также вызваны неэффективной маршрутизацией или пирингом или неоптимальным (удаленным) поиском DNS.

Чтобы убедиться, что подключение к Microsoft 365 не зависит от сетевых заколок даже в случае локального исходящего трафика, проверка, имеет ли поставщик услуг Интернета, используемый для предоставления исходящего трафика через Интернет для расположения пользователя, прямой пиринг с глобальной сетью Майкрософт в непосредственной близости от этого расположения. Вы также можете настроить маршрутизацию исходящего трафика для отправки доверенного трафика Microsoft 365 напрямую. Это не прокси-сервер или туннелирование через стороннего поставщика облачной или облачной сетевой безопасности, который обрабатывает ваш трафик, связанный с Интернетом. Разрешение локальных DNS-имен в конечных точках Microsoft 365 помогает гарантировать, что помимо прямой маршрутизации, для подключений пользователей используются ближайшие точки входа в Microsoft 365.

Если вы используете облачную сеть или службы безопасности для трафика Microsoft 365, убедитесь, что результат оценки шпильки и его влияние на производительность Microsoft 365 будет понято. Это можно сделать, изучив количество и расположения расположений поставщиков услуг, через которые передается трафик в связи с количеством ваших филиалов и точек пиринга глобальной сети Майкрософт, качество связи сетевого пиринга поставщика услуг с поставщиком услуг и корпорацией Майкрософт, а также влияние на производительность обратной передачи в инфраструктуре поставщика услуг.

Из-за большого количества распределенных расположений с точками входа Microsoft 365 и их близостью к конечным пользователям маршрутизация трафика Microsoft 365 к любой сторонней сети или поставщику безопасности может отрицательно повлиять на подключения Microsoft 365, если сеть поставщика не настроена для оптимального пиринга Microsoft 365.

Оценка обхода прокси-серверов, устройств проверки трафика и дублирование технологий безопасности

Корпоративным клиентам следует проверить свои специальные методики защиты сети и снижения риска для трафика, адресованного службе Microsoft 365, и использовать функции обеспечения безопасности Microsoft 365, чтобы снизить зависимость от навязчивых, влияющих на производительность и дорогостоящих технологий сетевой безопасности для сетевого трафика в Microsoft 365.

Большинство корпоративных сетей обеспечивают безопасность сети для интернет-трафика с помощью таких технологий, как прокси-серверы, проверка TLS, проверка пакетов и системы защиты от потери данных. Эти технологии выполняют важную задачу снижения риска для обычных интернет-запросов, но могут существенно снизить производительность, масштабируемость и удобство работы пользователей в отношении конечных точек Microsoft 365.

Веб-служба конечных точек Office 365

Администраторы Microsoft 365 могут использовать сценарий или вызов метода REST для применения структурированного списка конечных точек в веб-службе конечных точек Office 365 и обновлять конфигурации брандмауэров периметра и других сетевых устройств. Это гарантирует, что трафик, связанный с Microsoft 365, определяется, обрабатывается надлежащим образом и управляется иначе, чем сетевой трафик, связанный с универсальными и часто неизвестными веб-сайтами в Интернете. Дополнительные сведения о том, как использовать веб-службу конечных точек Office 365, см. в статье URL-адреса и диапазоны IP-адресов Office 365.

Сценарии PAC (автоматической настройки прокси-серверов)

Администраторы Microsoft 365 могут создавать сценарии PAC (автоматической настройки прокси-серверов), которые можно доставлять на компьютеры пользователей через WPAD или GPO. Сценарии PAC можно использовать для обхода прокси-серверов для запросов Microsoft 365 от пользователей WAN или VPN, позволяя трафику Microsoft 365 использовать прямые подключения к Интернету, а не проходить по корпоративной сети.

Функции обеспечения безопасности в Microsoft 365

Корпорация Майкрософт открыта в отношении безопасности центров обработки данных, операционной безопасности и снижения риска на серверах Microsoft 365 и в конечных точках сети, которые она представляет. Для снижения риска сетевой безопасности доступны встроенные функции безопасности Microsoft 365, такие как Защита от потери данных Microsoft Purview, антивирусная программа, многофакторная проверка подлинности, защищенное хранилище клиента, Defender для Office 365, Аналитика угроз Microsoft 365, Оценка безопасности Microsoft 365, Exchange Online Protection и безопасность DDOS в сети.

Дополнительные сведения о безопасности глобальной сети и центров обработки данных Майкрософт см. в Центре управления безопасностью Майкрософт.

Новые категории конечных точек Office 365

Конечные точки Office 365 представляют разнообразный набор сетевых адресов и подсетей. Конечными точками могут быть URL-адреса, IP-адреса или диапазоны IP-адресов, а некоторые конечные точки перечислены с определенными портами TCP/UDP. URL-адреса могут быть полным доменным именем, например account.office.net, или URL-адресом с подстановочными знаками , например *.office365.com.

Примечание.

Расположения конечных точек Office 365 в сети не связаны напрямую с расположением данных клиента Microsoft 365. По этой причине клиентам следует рассматривать Microsoft 365 как распределенную и глобальную службу и не пытаться блокировать сетевые подключения к конечным точкам Office 365 по географическим критериям.

В предыдущих рекомендациях по управлению трафиком Microsoft 365 конечные точки делились на две категории: обязательные и необязательные. Для конечных точек в каждой категории требуется различная оптимизация в зависимости от важности службы. Многие клиенты сталкиваются с проблемами при оправдании применения одной и той же оптимизации сети до полного списка OFFICE 365 URL-адресов и IP-адресов.

В новой модели конечные точки делятся на три категории: Оптимизация, Разрешения и По умолчанию. Это помогает расставлять приоритеты для мер по оптимизации сети, чтобы обеспечить максимальную производительность и рентабельность инвестиций. Конечные точки делятся на вышеуказанные категории по тому, насколько чувствительна работа пользователей к качеству сети, объему и кривой производительности сценариев, а также простоте реализации. Рекомендуемые средства оптимизации можно одинаково применять ко всем конечным точкам из той или иной категории.

• Конечные точки из категории Оптимизация требуются для подключения ко всем службам Office 365 и представляют более 75 % пропускной способности, подключений и объема данных Office 365. Эти конечные точки представляют сценарии Office 365, которые наиболее чувствительны к производительности, задержке и доступности сети. Все конечные точки размещаются в центрах обработки данных Майкрософт. Ожидаемая частота изменений конечных точек из этой категории намного ниже, чем у конечных точек из остальных двух категорий. Эта категория содержит небольшой (примерно 10) набор ключевых URL-адресов и определенный набор IP-подсетей специально для основных рабочих нагрузок Office 365, таких как Exchange Online, SharePoint Online, Skype для бизнеса Online и Microsoft Teams.

  Сокращенный список четко определенных критически важных конечных точек должен помочь вам быстрее и удобнее планировать и реализовать ценные средства оптимизации сети для этих целевых расположений.

  Примерами конечных точек оптимизации являются https://outlook.office365.com, https://< tenant.sharepoint.com> и https://< tenant-my.sharepoint.com>.

  Методы оптимизации:

  • Обход конечных точек Оптимизации на сетевых устройствах и службах, выполняющих перехват трафика, расшифровку TLS, глубокую проверку пакетов и фильтрацию содержимого.
  • Обход локальных прокси-устройств и облачных прокси-служб, обычно используемых для обычного просмотра в Интернете.
  • Определение приоритета оценки этих конечных точек как полностью доверенных сетевой инфраструктурой и системами периметра.
  • Определение приоритета для частичного или полного предотвращения обратной передачи в WAN и использование прямых распределенных точек выхода в Интернете, находящихся как можно ближе к пользователям или филиалам, для этих конечных точек.
  • Использование прямого подключения к этим облачным конечным точкам для пользователей VPN путем реализации раздельного туннелирования.
  • Гарантирование того, что IP-адреса, возвращаемые при разрешении DNS-имен, соответствуют пути маршрутизации исходящего трафика для этих конечных точек.
  • Определение приоритетов этих конечных точек для интеграции SD-WAN и прямой маршрутизации с минимальной задержкой в ближайшую точку интернет-пиринга в глобальной сети Майкрософт.

• Разрешить конечные точки требуются для подключения к определенным службам и функциям Office 365, но не так чувствительны к производительности сети и задержке, как в категории Optimize. Расход ресурсов сети этими конечными точками (с точки зрения пропускной способности и количества подключений) также становится меньше. Эти конечные точки предназначены специально для Office 365 и размещаются в центрах хранения данных Майкрософт. Они представляют собой широкий набор Office 365 микрослужб и их зависимостей (от порядка около 100 URL-адресов) и, как ожидается, изменятся более высокими темпами, чем в категории Optimize. Не все конечные точки из этой категории связаны с определенными выделенными IP-подсетями.

  Оптимизация сети для разрешенных конечных точек может улучшить Office 365 взаимодействие с пользователем, но некоторые клиенты могут область эти оптимизации более узко, чтобы свести к минимуму изменения в сети.

  Примерами разрешенных конечных точек являются https://*.protection.outlook.com и https://accounts.accesscontrol.windows.net.

  Методы оптимизации:

  • Обход разрешенных конечных точек на сетевых устройствах и службах, выполняющих перехват трафика, расшифровку TLS, глубокую проверку пакетов и фильтрацию содержимого.
  • Определение приоритета оценки этих конечных точек как полностью доверенных сетевой инфраструктурой и системами периметра.
  • Определение приоритета для частичного или полного предотвращения обратной передачи в WAN и использование прямых распределенных точек выхода в Интернете, находящихся как можно ближе к пользователям или филиалам, для этих конечных точек.
  • Гарантирование того, что IP-адреса, возвращаемые при разрешении DNS-имен, соответствуют пути маршрутизации исходящего трафика для этих конечных точек.
  • Определение приоритетов этих конечных точек для интеграции SD-WAN и прямой маршрутизации с минимальной задержкой в ближайшую точку интернет-пиринга в глобальной сети Майкрософт.

• Конечные точки по умолчанию представляют Office 365 службы и зависимости, которые не требуют никакой оптимизации, и могут рассматриваться клиентскими сетями как обычный интернет-трафик. Некоторые конечные точки в этой категории могут не размещаться в центрах обработки данных Майкрософт. Примеры: https://odc.officeapps.live.com и https://appexsin.stb.s-msn.com.

Дополнительные сведения о методиках сетевой оптимизации в Office 365 см. в статье Управление конечными точками Office 365.

Сравнение защиты периметра сети с защитой конечных точек

Цель традиционной системы сетевой безопасности — укрепить защиту периметра корпоративной сети от вторжений и вредоносных эксплойтов. По мере того как в организациях внедряется Microsoft 365, некоторые сетевые службы и данные частично или полностью переносятся в облако. Что касается фундаментального изменения сетевой архитектуры, этот процесс требует повторной проверки сетевой безопасности с учетом возникающих факторов:

• По мере внедрения облачных служб сетевые службы и данные распределяются между локальными центрами обработки данных и облаком, и одной лишь защиты периметра теперь недостаточно.
• Удаленные пользователи подключаются к корпоративным ресурсам как в локальных центрах обработки данных, так и в облаке, из неконтролируемых расположений, таких как дома, гостиницы и кафе.
• Специализированные функции обеспечения безопасности все больше встраиваются в облачные службы и в перспективе могут дополнять или заменять имеющиеся системы безопасности.

Корпорация Майкрософт предлагает широкий ассортимент функций обеспечения безопасности Microsoft 365 и предоставляет инструкции по реализации лучших методик защиты, которые помогут вам обеспечить безопасность данных и сетей для Microsoft 365. Рекомендуемые рекомендации:

• Использование многофакторной проверки подлинности (MFA) MFA добавляет дополнительный уровень защиты к стратегии надежных паролей, требуя от пользователей подтверждения телефонного звонка, текстового сообщения или уведомления приложения на своем смартфоне после правильного ввода пароля.

• Использование Microsoft Defender for Cloud Apps. Настройте политики для отслеживания аномальных действий и реагирования на них. Настройте оповещения с помощью Microsoft Defender for Cloud Apps, чтобы администраторы могли просматривать необычные или рискованные действия пользователей, такие как скачивание больших объемов данных, несколько неудачных попыток входа или подключения с неизвестных или опасных IP-адресов.

• Настройка защиты от потери данных (DLP). С помощью DLP можно определять конфиденциальные данные и создавать политики, предотвращающие случайное или намеренное разглашение информации сотрудниками. DLP применяется во всех службах Microsoft 365, включая Exchange Online, SharePoint Online и OneDrive, что позволяет соблюдать нормативные требования, не мешая работе пользователей.

• Использование защищенного хранилища. С помощью защищенного хранилища администраторы Microsoft 365 могут управлять доступом сотрудников службы поддержки Майкрософт к своим данным. Если сотруднику службы поддержки требуется получить доступ к данным для устранения неполадок, защищенное хранилище позволяет утвердить или отклонить запрос.

• Использование Оценки безопасности Office 365. Средство анализа, которое рекомендует, что можно сделать, чтобы снизить риск. Оценка безопасности проверяет параметры Microsoft 365 и действия в службе, а затем сравнивает их с базовыми показателями, установленными корпорацией Майкрософт. Вы получите оценку, основанную на том, насколько вы соответствуете лучшим методикам безопасности.

В комплексном подходе к усиленной безопасности должны учитываться перечисленные ниже факторы.

• Смещение акцента с безопасности периметра на безопасность конечных точек путем применения функций защиты в облаке и клиенте Office.
  • Уменьшение периметра безопасности до масштаба центра обработки данных.
  • Обеспечение эквивалентного доверия для устройств пользователей в офисе и удаленных расположениях.
  • Приоритет отдается защите расположений данных и пользователей.
  • Управляемые пользовательские компьютеры пользуются большим доверием в системе безопасности конечных точек.
• Комплексное управление всеми аспектами информационной безопасности, где внимание уделяется не только периметру.
  • Переопределение глобальной сети и обеспечение безопасности сети периметра, где доверенному трафику разрешается обходить устройства защиты, а неуправляемые устройства размещаются в отдельных гостевых сетях Wi-Fi.
  • Снижение требований пограничной корпоративной глобальной сети к сетевой безопасности.
  • Некоторые устройства защиты периметра сети, например брандмауэры, по-прежнему необходимы, но нагрузка снижена.
  • Создание локальных точек выхода для трафика Microsoft 365.
• Улучшения можно вносить поэтапно, как описано в разделе Добавочная оптимизация. Некоторые методы оптимизации могут предложить лучшее соотношение затрат и выгод в зависимости от архитектуры сети, и вы должны выбрать оптимизации, которые наиболее удобны для вашей организации.

Подробнее о безопасности и соответствии требованиям Microsoft 365 см. в статьях Безопасность Microsoft 365 и Microsoft Purview.

Добавочная оптимизация

Мы представили идеальную модель сетевого подключения для SaaS ранее в этой статье, но для многих крупных организаций с исторически сложными сетевыми архитектурами нецелесообразно вносить все эти изменения напрямую. В этом разделе мы обсудим множество добавочных изменений, которые могут помочь повысить производительность и надежность Microsoft 365.

Методы, которые будут использоваться для оптимизации трафика Microsoft 365, зависят от топологии сети и реализованных сетевых устройств. Крупным предприятиям с большим количеством расположений и сложными методами сетевой безопасности необходимо разработать стратегию, которая включает в себя большинство или все принципы, перечисленные в разделе Принципы подключения Microsoft 365 , в то время как небольшим организациям может потребоваться рассмотреть только один или два.

Оптимизацию можно рассматривать как поэтапный процесс, в ходе которого методики добавляются по очереди. В следующей таблице перечислены ключевые методы оптимизации в порядке их влияния на задержку и надежность для наибольшего числа пользователей.

Способ оптимизации	Описание	Влияние
Локальное разрешение DNS-имен и точки выхода в Интернет	Подготовьте локальные DNS-серверы в каждом расположении и убедитесь, что точки выхода подключений к Microsoft 365 в Интернет находятся как можно ближе к расположению пользователя.	Сведение задержки к минимуму Повышение надежности подключения к ближайшей точке входа в Microsoft 365
Добавление региональных точек выхода	Если в вашей корпоративной сети есть несколько расположений, но только одна точка выхода, добавьте региональные точки выхода, чтобы пользователи могли подключаться к ближайшей точке входа в Microsoft 365.	Сведение задержки к минимуму Повышение надежности подключения к ближайшей точке входа в Microsoft 365
Обход прокси-серверов и устройств проверки	Настройте браузеры с помощью PAC-файлов, которые отправляют запросы Microsoft 365 непосредственно в точки выхода. Настройте пограничные маршрутизаторы и брандмауэры, чтобы они разрешали трафик Microsoft 365 без проверки.	Сведение задержки к минимуму Снижение нагрузки на сетевые устройства
Разрешение прямого подключения для пользователей VPN	Добавьте для пользователей VPN возможность подключения к Microsoft 365 непосредственно из сети пользователя, а не через VPN-туннель, с помощью раздельного туннелирования.	Сведение задержки к минимуму Повышение надежности подключения к ближайшей точке входа в Microsoft 365
Переход с традиционных сетей WAN на SD-WAN	SD-WAN (программно-определяемые глобальные сети) упрощают управление глобальными сетями и повышают производительность, заменяя традиционные маршрутизаторы WAN виртуальными устройствами, подобно виртуализации вычислительных ресурсов с помощью виртуальных машин (VM).	Повышение производительности и управляемости трафика WAN Снижение нагрузки на сетевые устройства

Связанные статьи

Обзор сетевого подключения Microsoft 365

Управление конечными точками Office 365

URL-адреса и диапазоны IP-адресов для Office 365

Веб-служба IP-адресов и URL-адресов в Office 365

Оценка сетевого подключения Microsoft 365

Планирование сети и настройка производительности для Microsoft 365

Настройка производительности Office 365 с помощью базовых показателей и журнала производительности

План устранения проблем с производительностью Office 365

Сети доставки содержимого

Проверка подключения Microsoft 365

Как Майкрософт строит свою быструю и надежную глобальную сеть

Блог, посвященный сетям для Office 365