Vanliga scenarier med delade VPN-tunnlar för Microsoft 365

Obs!

Den här artikeln är en del av en uppsättning artiklar som behandlar Microsoft 365-optimering för fjärranvändare.

I listan nedan visas de vanligaste VPN-scenarierna i företagsmiljöer. De flesta kunder använder traditionellt modell 1 (VPN Forcerad tunnel). Det här avsnittet hjälper dig att snabbt och säkert övergå till modell 2, vilket är möjligt med relativt liten ansträngning och har enorma fördelar med nätverksprestanda och användarupplevelse.

Modell Beskrivning
1. VPN Tvingad tunnel 100 % av trafiken går till VPN-tunnel, inklusive lokalt, Internet och all O365/M365
2. VPN Tvingad tunnel med få undantag VPN-tunnel används som standard (standardvägpunkter till VPN), med få, viktigaste undantagsscenarier som tillåts gå direkt
3. VPN Tvingad tunnel med breda undantag VPN-tunnel används som standard (standardvägpunkter till VPN), med breda undantag som tillåts gå direkt (till exempel alla Microsoft 365, All Salesforce och All Zoom)
4. Selektiv VPN-tunnel VPN-tunnel används endast för corpnet-baserade tjänster. Standardvägen (Internet och alla Internetbaserade tjänster) går direkt.
5. Inget VPN En variant av #2. I stället för äldre VPN publiceras alla corpnet-tjänster via moderna säkerhetsmetoder (till exempel Zscaler ZPA, Azure Active Directory (Azure AD) Proxy/MCAS osv.)

1. VPN Tvingad tunnel

Det vanligaste startscenariot för de flesta företagskunder. Ett framtvingad VPN används, vilket innebär att 100 % av trafiken dirigeras till företagsnätverket oavsett om slutpunkten finns i företagsnätverket eller inte. All extern (Internet)-bunden trafik, till exempel Microsoft 365 eller Internetbläddring, fästs sedan tillbaka från den lokala säkerhetsutrustningen, till exempel proxyservrar. I det nuvarande klimatet med nästan 100% av användarna som arbetar på distans, sätter denna modell därför hög belastning på VPN-infrastrukturen och kommer sannolikt att avsevärt hindra prestanda för all företagstrafik och därmed företaget att fungera effektivt i en tid av kris.

VPN Forcerad tunnelmodell 1.

2. VPN Tvingad tunnel med ett litet antal betrodda undantag

Betydligt effektivare för ett företag att arbeta under. Den här modellen tillåter några kontrollerade och definierade slutpunkter som är känsliga för hög belastning och svarstid för att kringgå VPN-tunneln och gå direkt till Microsoft 365-tjänsten. Detta förbättrar prestanda avsevärt för de avlastade tjänsterna och minskar även belastningen på VPN-infrastrukturen, vilket gör att element som fortfarande kräver att den fungerar med lägre konkurrens om resurser. Det är den här modellen som den här artikeln fokuserar på att hjälpa till med övergången till eftersom den gör det möjligt att snabbt vidta enkla, definierade åtgärder med många positiva resultat.

VPN-modell för delad tunnel 2.

3. VPN Tvingad tunnel med breda undantag

Breddar omfånget för modell 2. I stället för att bara skicka en liten grupp definierade slutpunkter direkt skickar den i stället all trafik direkt till betrodda tjänster som Microsoft 365 och SalesForce. Detta minskar ytterligare belastningen på företagets VPN-infrastruktur och förbättrar prestandan för de tjänster som definierats. Eftersom den här modellen sannolikt kommer att ta mer tid att utvärdera genomförbarheten av och implementera, är det troligtvis ett steg som kan tas iterativt vid ett senare tillfälle när modell två är på plats.

VPN-modell för delad tunnel 3.

4. Selektiv VPN-tunnel

Omvänder den tredje modellen genom att endast trafik som identifierats ha en företags-IP-adress skickas ned i VPN-tunneln och därmed är Internetsökvägen standardvägen för allt annat. Den här modellen kräver att en organisation är på god väg att Nolltillit för att kunna implementera den här modellen på ett säkert sätt. Det bör noteras att den här modellen eller någon variant av den sannolikt kommer att bli det nödvändiga standardvärdet över tid när fler tjänster flyttas bort från företagsnätverket och till molnet.

Microsoft använder den här modellen internt. Du hittar mer information om Microsofts implementering av DELADE VPN-tunnlar i Körs på VPN: Hur Microsoft håller sin fjärranslutna personal ansluten.

VPN-modell för delad tunnel 4.

5. Inget VPN

En mer avancerad version av modell nummer 2, där alla interna tjänster publiceras via en modern säkerhetsmetod eller SDWAN-lösning som Azure AD Proxy, Defender för molnappar, Zscaler ZPA osv.

VPN-modell för delad tunnel 5.

Översikt: DELADE VPN-tunnlar för Microsoft 365

Implementera DELADE VPN-tunnlar för Microsoft 365

Skydda Teams medietrafik för delade VPN-tunnlar

Särskilda överväganden för Stream- och livehändelser i VPN-miljöer

Microsoft 365-prestandaoptimering för kinesiska användare

Principer för nätverksanslutning i Microsoft 365

Utvärdera Microsoft 365 nätverksanslutningar

Nätverks- och prestandajustering för Microsoft 365

Alternativa sätt för säkerhetspersonal och IT att uppnå moderna säkerhetskontroller i dagens unika fjärrarbetsscenarier (Microsoft Security Team-bloggen)

Förbättra VPN-prestanda hos Microsoft: använda Windows 10 VPN-profiler för att tillåta automatiska anslutningar

Körs på VPN: Hur Microsoft håller sin fjärranslutna personal ansluten

Microsofts globala nätverk