Microsoft 365 ağ bağlantısı ilkeleri
Bu makale hem Microsoft 365 Kurumsal hem de Office 365 Kurumsal için geçerlidir.
Ağınızı Microsoft 365 ağ bağlantısı için planlamaya başlamadan önce, Microsoft 365 trafiğini güvenli bir şekilde yönetmek ve mümkün olan en iyi performansı elde etmek için bağlantı ilkelerini anlamanız önemlidir. Bu makale, Microsoft 365 ağ bağlantısını güvenli bir şekilde iyileştirmeye yönelik en son yönergeleri anlamanıza yardımcı olur.
Geleneksel kurumsal ağlar öncelikli olarak kullanıcıların güçlü çevre güvenliğine sahip şirket tarafından çalıştırılan veri merkezlerinde barındırılan uygulamalara ve verilere erişmesini sağlamak için tasarlanmıştır. Geleneksel model, kullanıcıların kurumsal ağ çevresinin içinden, şube ofislerinden WAN bağlantıları üzerinden veya VPN bağlantıları üzerinden uzaktan uygulamalara ve verilere erişeceğini varsayar.
Microsoft 365 gibi SaaS uygulamalarının benimsenmesi, bazı hizmet ve veri birleşimlerini ağ çevresi dışına taşır. İyileştirme olmadan, kullanıcılar ve SaaS uygulamaları arasındaki trafik paket denetimi, ağ saç tokaları, coğrafi olarak uzak uç noktalara yanlışlıkla yapılan bağlantılar ve diğer faktörler tarafından ortaya çıkan gecikme süresine tabidir. Temel iyileştirme yönergelerini anlayıp uygulayarak en iyi Microsoft 365 performansını ve güvenilirliğini sağlayabilirsiniz.
Bu makalede şunları öğreneceksiniz:
- Buluta müşteri bağlantısı için geçerli olduğu için 365 mimarisini Microsoft
- Ağ trafiğini ve son kullanıcı deneyimini iyileştirmeye yönelik 365 bağlantı ilkeleri ve stratejileri Microsoft güncelleştirildi
- Ağ yöneticilerinin ağ iyileştirmesinde kullanmak üzere yapılandırılmış uç noktaların listesini kullanmasına olanak tanıyan Office 365 Endpoints web hizmeti
- Yeni Office 365 uç nokta kategorileri ve iyileştirme kılavuzu
- Ağ çevre güvenliğini uç nokta güvenliğiyle karşılaştırma
- Microsoft 365 trafiği için artımlı iyileştirme seçenekleri
- Microsoft 365 bağlantı testi, Microsoft 365'e temel bağlantıyı test etmek için yeni bir araç
Microsoft 365 mimarisi
Microsoft 365, Exchange Online, SharePoint Online, Skype Kurumsal Online, Microsoft Teams gibi çeşitli mikro hizmetler ve uygulamalar aracılığıyla üretkenlik ve işbirliği senaryoları sağlayan dağıtılmış bir Hizmet Olarak Yazılım (SaaS) bulutudur. Exchange Online Protection, tarayıcıda Office ve diğerleri. Belirli Microsoft 365 uygulamalarının benzersiz özellikleri müşteri ağı ve bulut bağlantısı için geçerli olsa da, hepsi bazı temel ilkeleri, hedefleri ve mimari desenlerini paylaşır. Bu bağlantı ilkeleri ve mimari desenleri, diğer birçok SaaS bulutu için tipiktir ve aynı zamanda Azure Microsoft gibi Hizmet Olarak Platform ve Hizmet Olarak Altyapı bulutlarının tipik dağıtım modellerinden farklıdır.
Microsoft 365'in (genellikle ağ mimarları tarafından kaçırılan veya yanlış yorumlanan) en önemli mimari özelliklerinden biri, kullanıcıların buna nasıl bağlandığı bağlamında gerçekten genel bir dağıtılmış hizmet olmasıdır. Hedef Microsoft 365 kiracısının konumu, müşteri verilerinin bulutta nerede depolandığını anlamak için önemlidir, ancak Microsoft 365 ile kullanıcı deneyimi, verileri içeren disklere doğrudan bağlanmayı içermez. Microsoft 365 (performans, güvenilirlik ve diğer önemli kalite özellikleri dahil) ile kullanıcı deneyimi, dünya çapında yüzlerce Microsoft konumda ölçeği genişletilen yüksek oranda dağıtılmış hizmet ön kapılarından bağlantıyı içerir. Çoğu durumda en iyi kullanıcı deneyimi, müşteri ağının kullanıcı isteklerini merkezi bir konum veya bölgedeki bir çıkış noktası üzerinden Microsoft 365'e bağlanmak yerine en yakın Microsoft 365 hizmet giriş noktasına yönlendirmesine izin vererek elde edilir.
Çoğu müşteri için Microsoft 365 kullanıcı birçok konuma dağıtılır. En iyi sonuçları elde etmek için, bu belgede açıklanan ilkelere ölçeği genişletme (ölçeği artırma değil) açısından bakılmalıdır ve Microsoft 365 kiracısının coğrafi konumuna değil, Microsoft Genel Ağı'ndaki en yakın iletişim noktasıyla bağlantıyı iyileştirmeye odaklanılmalıdır. Özünde bu, Microsoft 365 kiracı verilerinin belirli bir coğrafi konumda depolanabilmesine rağmen Microsoft 365 deneyiminin dağıtılmış olarak kaldığı ve kiracının sahip olduğu her son kullanıcı konumuna çok yakın (ağ) bir konumda bulunabileceği anlamına gelir.
Microsoft 365 bağlantı ilkeleri
Microsoft, en iyi Microsoft 365 bağlantı ve performansı elde etmek için aşağıdaki ilkeleri önerir. Trafiğinizi yönetmek ve Microsoft 365'e bağlanırken en iyi performansı elde etmek için bu Microsoft 365 bağlantı ilkelerini kullanın.
Ağ tasarımındaki birincil hedef, ağınızdan Microsoft Global Ağ'a gidiş dönüş süresini (RTT) azaltarak gecikme süresini en aza indirmek, Microsoft tüm Microsoft veri merkezlerini düşük gecikme süresi ve bulut uygulaması giriş noktalarıyla birbirine bağlayan genel ağ omurgası olmaktır. Microsoft Global Ağı hakkında daha fazla bilgi edinmek için Microsoft hızlı ve güvenilir küresel ağını oluşturma hakkında bilgi edinebilirsiniz.
Microsoft 365 trafiğini belirleme ve ayırt etmek
Microsoft 365 ağ trafiğini belirlemek, trafiği İnternet'e bağlı genel ağ trafiğinden ayırt edebilmenin ilk adımıdır. Microsoft 365 bağlantısı, ağ yolu iyileştirme, güvenlik duvarı kuralları, tarayıcı ara sunucu ayarları ve belirli uç noktalar için ağ denetleme cihazlarının atlanması gibi yaklaşımların bir bileşimi uygulanarak iyileştirilebilir.
Önceki Microsoft 365 iyileştirme kılavuzu, Microsoft 365 uç noktasını Gerekli ve İsteğe Bağlı olmak üzere iki kategoriye böldü. Yeni Microsoft 365 hizmet ve özelliklerini desteklemek üzere uç noktalar eklendiğinden, Microsoft 365 uç noktalarını üç kategoride yeniden düzenledik: İyileştirme, İzin Ver ve Varsayılan. Her kategoriye yönelik yönergeler, kategorideki tüm uç noktalar için geçerlidir ve iyileştirmelerin anlaşılmasını ve uygulanmasını kolaylaştırır.
Microsoft 365 uç nokta kategorileri ve iyileştirme yöntemleri hakkında daha fazla bilgi için Yeni Office 365 uç nokta kategorileri bölümüne bakın.
Microsoft artık tüm Microsoft 365 uç noktalarını bir web hizmeti olarak yayımlar ve bu verilerin en iyi şekilde nasıl kullanılacağı konusunda rehberlik sağlar. Microsoft 365 uç noktalarını getirme ve bunlarla çalışma hakkında daha fazla bilgi için URL'ler ve IP adresi aralıkları Office 365 makalesine bakın.
Yerel olarak çıkış ağ bağlantıları
Yerel DNS ve İnternet çıkışı, bağlantı gecikmesini azaltmak ve kullanıcı bağlantılarının Microsoft 365 hizmetlerine en yakın giriş noktasına yapılmasını sağlamak için kritik öneme sahiptir. Karmaşık bir ağ topolojisinde hem yerel DNS hem de yerel İnternet çıkışını birlikte uygulamak önemlidir. Microsoft 365'in istemci bağlantılarını en yakın giriş noktasına nasıl yönlendirdiğini öğrenmek için İstemci Bağlantısı makalesine bakın.
Microsoft 365 gibi bulut hizmetlerinin ortaya çıkmasından önce, ağ mimarisinde tasarım faktörü olarak son kullanıcı İnternet bağlantısı nispeten basitti. İnternet hizmetleri ve web siteleri dünya çapında dağıtıldığında, kurumsal çıkış noktaları ile belirli bir hedef uç nokta arasındaki gecikme süresi büyük ölçüde coğrafi uzaklık işlevidir.
Geleneksel bir ağ mimarisinde, tüm giden İnternet bağlantıları şirket ağından ve merkezi bir konumdan çıkar. Microsoft bulut teklifleri olgunlaştıkça, İnternet'e yönelik dağıtılmış bir ağ mimarisi gecikmeye duyarlı bulut hizmetlerini desteklemek için kritik hale gelmiştir. Microsoft Genel Ağı, gelen bulut hizmeti bağlantılarını en yakın giriş noktasına yönlendiren dinamik bir genel giriş noktası dokusu olan Dağıtılmış Hizmet Front Door altyapısıyla gecikme gereksinimlerini karşılamak üzere tasarlanmıştır. Bunun amacı, müşteriyle bulut arasındaki rotayı etkili bir şekilde kısaltarak Microsoft bulut müşterileri için "son kilometre" uzunluğunu azaltmaya yöneliktir.
Kurumsal WAN'ler genellikle İnternet'e çıkıştan önce, genellikle bir veya daha fazla ara sunucu aracılığıyla denetim için merkezi bir şirket yönetim merkezine ağ trafiğini geri almak üzere tasarlanmıştır. Aşağıdaki diyagramda bu tür bir ağ topolojisi gösterilmektedir.
Microsoft 365, dünyanın dört bir yanındaki ön uç sunucularını içeren Microsoft Global Network üzerinde çalıştığından, genellikle kullanıcının konumuna yakın bir ön uç sunucusu olacaktır. Yerel İnternet çıkışı sağlayarak ve iç DNS sunucularını Microsoft 365 uç noktaları için yerel ad çözümlemesi sağlayacak şekilde yapılandırarak, Microsoft 365'i hedefleyen ağ trafiği kullanıcıya mümkün olduğunca yakın Microsoft 365 ön uç sunucusuna bağlanabilir. Aşağıdaki diyagramda, ana ofis, şube ve uzak konumlardan bağlanan kullanıcıların en kısa yolu Microsoft 365 giriş noktasına kadar izlemesine olanak tanıyan bir ağ topolojisi örneği gösterilmektedir.
Ağ yolunun 365 giriş noktası Microsoft bu şekilde kısaltılması, bağlantı performansını ve Microsoft 365'teki son kullanıcı deneyimini iyileştirebilir ve ağ mimarisinde gelecekteki değişikliklerin Microsoft 365 performansı ve güvenilirliği üzerindeki etkisini azaltmaya yardımcı olabilir.
Ayrıca, yanıtlayan DNS sunucusu uzak veya meşgulse DNS istekleri gecikmeye neden olabilir. Dal konumlarında yerel DNS sunucuları sağlayarak ve DNS kayıtlarını uygun şekilde önbelleğe almak için yapılandırıldığından emin olarak ad çözümleme gecikme süresini en aza indirebilirsiniz.
Bölgesel çıkış Microsoft 365 için uygun olsa da, bunun şirket ağında veya ev, otel, kafe ve havaalanları gibi uzak konumlarda olmasına bakılmaksızın, en uygun bağlantı modeli her zaman kullanıcının konumunda ağ çıkışı sağlamaktır. Bu yerel doğrudan çıkış modeli aşağıdaki diyagramda gösterilmiştir.
Microsoft 365'i benimseyen kuruluşlar, Microsoft 365'e yönelik kullanıcı bağlantılarının en yakın Microsoft Global Ağ giriş noktasına giden mümkün olan en kısa yolu izlemesini sağlayarak Microsoft Global Network'ün Dağıtılmış Hizmet Front Door mimarisinden yararlanabilir. Yerel çıkış ağ mimarisi bunu Microsoft 365 trafiğinin kullanıcı konumundan bağımsız olarak en yakın çıkış üzerinden yönlendirilmesine izin vererek yapar.
Yerel çıkış mimarisi, geleneksel modele göre aşağıdaki avantajlara sahiptir:
- Rota uzunluğunu iyileştirerek en iyi Microsoft 365 performansı sağlar. son kullanıcı bağlantıları, Dağıtılmış Hizmet Front Door altyapısı tarafından dinamik olarak en yakın Microsoft 365 giriş noktasına yönlendirilir.
- Yerel çıkışa izin vererek kurumsal ağ altyapısı üzerindeki yükü azaltır.
- İstemci uç noktası güvenliği ve bulut güvenliği özelliklerinden yararlanarak her iki uçta bağlantıların güvenliğini sağlar.
Ağ saç tokalarından kaçının
Genel bir kural olarak, kullanıcı ile en yakın Microsoft 365 uç noktası arasındaki en kısa, en doğrudan yol en iyi performansı sunar. Ağ saç tokası, belirli bir hedefe bağlı WAN veya VPN trafiği ilk olarak başka bir ara konuma (güvenlik yığını, bulut erişim aracısı veya bulut tabanlı web ağ geçidi gibi) yönlendirildiğinde ortaya çıkar ve coğrafi olarak uzak bir uç noktaya gecikme ve olası yeniden yönlendirme sağlar. Ağ saç tokaları, yönlendirme/eşleme yetersizliklerinden veya yetersiz (uzak) DNS aramalarından da kaynaklanabilir.
Microsoft 365 bağlantısının yerel çıkış durumunda bile ağ saç tokalarına tabi olmadığından emin olmak için, kullanıcı konumu için İnternet çıkışı sağlamak için kullanılan ISS'nin Microsoft Genel Ağı ile bu konuma yakın bir doğrudan eşleme ilişkisi olup olmadığını denetleyin. Çıkış yönlendirmesini, İnternet'e bağlı trafiğinizi işleyen üçüncü taraf bir bulut veya bulut tabanlı ağ güvenlik satıcısı üzerinden ara sunucu oluşturma veya tünel oluşturma yerine doğrudan güvenilen Microsoft 365 trafiği gönderecek şekilde yapılandırmak da isteyebilirsiniz. Microsoft 365 uç noktalarının yerel DNS ad çözümlemesi, doğrudan yönlendirmeye ek olarak, kullanıcı bağlantıları için en yakın Microsoft 365 giriş noktalarının kullanıldığından emin olmaya yardımcı olur.
Microsoft 365 trafiğiniz için bulut tabanlı ağ veya güvenlik hizmetleri kullanıyorsanız, saç tokasının sonucunun değerlendirildiğinden ve Microsoft 365 performansı üzerindeki etkisinin anlaşılmış olduğundan emin olun. Bu işlem, şube ofislerinizin sayısı ve Microsoft Genel Ağ eşleme noktalarıyla ilişkili olarak trafiğin iletildiği hizmet sağlayıcısı konumlarının sayısını ve konumlarını, hizmet sağlayıcısının ISS ve Microsoft ile ağ eşleme ilişkisinin kalitesini ve hizmet sağlayıcısı altyapısındaki geri akışın performans etkisini inceleyerek yapılabilir.
Microsoft 365 giriş noktası olan çok sayıda dağıtılmış konum ve son kullanıcılara yakınlığı nedeniyle, sağlayıcı ağı en iyi Microsoft 365 eşlemesi için yapılandırılmamışsa Microsoft 365 trafiğini herhangi bir üçüncü taraf ağ veya güvenlik sağlayıcısına yönlendirmek Microsoft 365 bağlantılarını olumsuz etkileyebilir.
Proxy'leri atlama, trafik denetleme cihazları ve yinelenen güvenlik teknolojilerini değerlendirme
Kurumsal müşteriler ağ güvenliği ve risk azaltma yöntemlerini özellikle Microsoft 365 bağlantılı trafik için gözden geçirmeli ve Microsoft 365 ağ trafiğine yönelik müdahaleci, performans etkileyen ve pahalı ağ güvenlik teknolojilerine olan güvenlerini azaltmak için Microsoft 365 güvenlik özelliklerini kullanmalıdır.
Çoğu kurumsal ağ, proxy'ler, SSL denetimi, paket denetimi ve veri kaybı önleme sistemleri gibi teknolojileri kullanarak İnternet trafiği için ağ güvenliğini zorunlu kmaktadır. Bu teknolojiler, genel İnternet istekleri için önemli risk azaltma sağlar ancak Microsoft 365 uç noktasına uygulandığında performansı, ölçeklenebilirliği ve son kullanıcı deneyiminin kalitesini önemli ölçüde azaltabilir.
uç noktalar web hizmetini Office 365
Microsoft 365 yöneticisi, Office 365 Endpoints web hizmetinden yapılandırılmış uç noktaların listesini kullanmak ve çevre güvenlik duvarlarının ve diğer ağ cihazlarının yapılandırmalarını güncelleştirmek için bir betik veya REST çağrısı kullanabilir. Bu, Microsoft 365'e bağlı trafiğin tanımlanmasını, uygun şekilde işlenmesini ve genel ve genellikle bilinmeyen İnternet web siteleri için ağ trafiğinden farklı yönetilmesini sağlar. Office 365 Uç Noktaları web hizmetini kullanma hakkında daha fazla bilgi için URL'ler ve IP adresi aralıkları Office 365 makalesine bakın.
PAC (Ara Sunucu Otomatik Yapılandırma) betikleri
Microsoft 365 yönetici, WPAD veya GPO aracılığıyla kullanıcı bilgisayarlarına teslim edilebilen PAC (Proxy Otomatik Yapılandırma) betikleri oluşturabilir. PAC betikleri, WAN veya VPN kullanıcılarından gelen Microsoft 365 istekleri için proxy'leri atlamak için kullanılabilir ve Microsoft 365 trafiğinin şirket ağında gezinmek yerine doğrudan İnternet bağlantılarını kullanmasına olanak tanır.
Microsoft 365 güvenlik özellikleri
Microsoft, Microsoft 365 sunucu ve temsil ettikleri ağ uç noktaları etrafında veri merkezi güvenliği, operasyonel güvenlik ve risk azaltma konusunda şeffaftır. Microsoft 365 yerleşik güvenlik özelliği, Microsoft Purview Veri Kaybı Önleme, Virüsten Koruma, Multi-Factor Authentication, Müşteri Kilit Kutusu, Office 365 için Defender Microsoft 365 Tehdit gibi ağ güvenlik riskini azaltmak için kullanılabilir Intelligence, Microsoft 365 Secure Score, Exchange Online Protection ve Network DDOS Security.
Microsoft veri merkezi ve Genel Ağ güvenliği hakkında daha fazla bilgi için bkz. Microsoft Güven Merkezi.
Yeni Office 365 uç nokta kategorileri
Office 365 uç noktaları, çeşitli ağ adresleri ve alt ağlar kümesini temsil eder. Uç noktalar URL'ler, IP adresleri veya IP aralıkları olabilir ve bazı uç noktalar belirli TCP/UDP bağlantı noktalarıyla listelenir. URL'ler account.office.net gibi bir FQDN veya *.office365.com gibi bir joker karakter URL'si olabilir.
Not
Ağ içindeki Office 365 uç noktalarının konumları, Microsoft 365 kiracı verilerinin konumuyla doğrudan ilişkili değildir. Bu nedenle müşteriler Microsoft 365'e dağıtılmış ve genel bir hizmet olarak bakmalı ve coğrafi ölçütlere göre Office 365 uç noktalarına yönelik ağ bağlantılarını engellemeye çalışmamalıdır.
Microsoft 365 trafiğini yönetmeye yönelik önceki kılavuzumuzda uç noktalar Gerekli ve İsteğe Bağlı olarak iki kategoride düzenlenmişti. Her kategorideki uç noktalar, hizmetin kritikliğine bağlı olarak farklı iyileştirmeler gerektiriyor ve birçok müşteri aynı ağ iyileştirmelerinin uygulanmasını Office 365 URL'lerinin ve IP adreslerinin tam listesine gerekçelendirme konusunda zorluklarla karşılaştı.
Yeni modelde uç noktalar İyileştir, İzin Ver ve Varsayılan olmak üzere üç kategoriye ayrılmıştır ve en iyi performans iyileştirmelerini gerçekleştirmek ve yatırım getirisi elde etmek için ağ iyileştirme çalışmalarına odaklanmak için öncelik tabanlı bir özet sağlar. Uç noktalar, etkili kullanıcı deneyiminin senaryoların ağ kalitesine, hacmine ve performans zarfı ile uygulama kolaylığına duyarlılığına bağlı olarak yukarıdaki kategorilerde birleştirilir. Önerilen iyileştirmeler, belirli bir kategorideki tüm uç noktalara aynı şekilde uygulanabilir.
İyileştirme uç noktaları her Office 365 hizmetine bağlantı için gereklidir ve Office 365 bant genişliğinin, bağlantıların ve veri hacminin %75'inden fazlasını temsil eder. Bu uç noktalar ağ performansı, gecikme süresi ve kullanılabilirlik açısından en hassas Office 365 senaryoları temsil eder. Tüm uç noktalar Microsoft veri merkezlerinde barındırılır. Bu kategorideki uç noktalarda değişiklik oranının diğer iki kategorideki uç noktalardan çok daha düşük olması beklenir. Bu kategoride küçük bir anahtar URL kümesi (~10 sırasıyla) ve Exchange Online, SharePoint Online, Skype Kurumsal Online ve Microsoft Teams gibi temel Office 365 iş yüklerine ayrılmış tanımlı bir IP alt ağları kümesi bulunur.
İyi tanımlanmış kritik uç noktaların yoğun bir listesi, bu hedefler için yüksek değerli ağ iyileştirmelerini daha hızlı ve daha kolay planlamanıza ve uygulamanıza yardımcı olmalıdır.
İyileştirme uç noktalarına örnek olarak https://outlook.office365.com, https://< tenant.sharepoint.com> ve https://< tenant-my.sharepoint.com> verilebilir.
İyileştirme yöntemleri şunlardır:
- Ağ cihazlarında ve hizmetlerde trafik kesme, SSL şifre çözme, derin paket incelemesi ve içerik filtreleme gerçekleştiren uç noktaları iyileştirmeyi atla.
- Genel İnternet'e gözatma için yaygın olarak kullanılan şirket içi proxy cihazlarını ve bulut tabanlı proxy hizmetlerini atla.
- Ağ altyapınız ve çevre sistemleriniz tarafından tam olarak güvenilir olarak bu uç noktaların değerlendirilmesine öncelik belirleyin.
- WAN backhauling'in azaltılmasını veya ortadan kaldırılmasını öncelik sırasına alın ve bu uç noktalar için kullanıcılara/dal konumlarına mümkün olduğunca yakın olan doğrudan dağıtılmış İnternet tabanlı çıkışı kolaylaştırın.
- Bölünmüş tünel uygulayarak VPN kullanıcıları için bu bulut uç noktalarına doğrudan bağlantıyı kolaylaştırma.
- DNS ad çözümlemesi tarafından döndürülen IP adreslerinin bu uç noktaların yönlendirme çıkış yoluyla eşleştiğinden emin olun.
- Microsoft genel ağının en yakın İnternet eşleme noktasına doğrudan ve en düşük gecikme süresi yönlendirmesi için SD-WAN tümleştirmesi için bu uç noktaların önceliklerini belirleyin.
belirli Office 365 hizmetlerine ve özelliklerine bağlantı için izin ver uç noktaları gereklidir, ancak en iyi duruma getirme kategorisindekiler kadar ağ performansına ve gecikme süresine duyarlı değildir. Bant genişliği ve bağlantı sayısı açısından bu uç noktaların genel ağ ayak izi de daha küçüktür. Bu uç noktalar Office 365 ayrılmıştır ve Microsoft veri merkezlerinde barındırılır. Geniş bir Office 365 mikro hizmetlerini ve bağımlılıklarını (yaklaşık 100 URL sırasına göre) temsil eder ve İyileştir kategorisindekilerden daha yüksek bir oranda değişmesi beklenir. Bu kategorideki tüm uç noktalar tanımlı ayrılmış IP alt ağlarıyla ilişkilendirilmemiştir.
İzin ver uç noktaları için ağ iyileştirmeleri Office 365 kullanıcı deneyimini geliştirebilir, ancak bazı müşteriler ağlarındaki değişiklikleri en aza indirmek için bu iyileştirmelerin kapsamını daha dar bir şekilde daraltmayı tercih edebilir.
İzin ver uç noktalarına örnek olarak https://*.protection.outlook.com ve https://accounts.accesscontrol.windows.netverilebilir.
İyileştirme yöntemleri şunlardır:
- Ağ cihazlarında ve hizmetlerde trafik kesme, SSL şifre çözme, derin paket incelemesi ve içerik filtreleme gerçekleştiren uç noktalara izin ver'i atla.
- Ağ altyapınız ve çevre sistemleriniz tarafından tam olarak güvenilir olarak bu uç noktaların değerlendirilmesine öncelik belirleyin.
- WAN backhauling'in azaltılmasını veya ortadan kaldırılmasını öncelik sırasına alın ve bu uç noktalar için kullanıcılara/dal konumlarına mümkün olduğunca yakın olan doğrudan dağıtılmış İnternet tabanlı çıkışı kolaylaştırın.
- DNS ad çözümlemesi tarafından döndürülen IP adreslerinin bu uç noktaların yönlendirme çıkış yoluyla eşleştiğinden emin olun.
- Microsoft genel ağının en yakın İnternet eşleme noktasına doğrudan ve en düşük gecikme süresi yönlendirmesi için SD-WAN tümleştirmesi için bu uç noktaların önceliklerini belirleyin.
Varsayılan uç noktalar, iyileştirme gerektirmeyen ve müşteri ağları tarafından normal İnternet'e bağlı trafik olarak ele alınabilen Office 365 hizmetleri ve bağımlılıkları temsil eder. Bu kategorideki bazı uç noktalar Microsoft veri merkezlerinde barındırılamayabilir. Örnek olarak ve
https://appexsin.stb.s-msn.comverilebilirhttps://odc.officeapps.live.com.
Office 365 ağ iyileştirme teknikleri hakkında daha fazla bilgi için Office 365 uç noktalarını yönetme makalesine bakın.
Ağ çevre güvenliğini uç nokta güvenliğiyle karşılaştırma
Geleneksel ağ güvenliğinin amacı, şirket ağ çevresini yetkisiz erişime ve kötü amaçlı açıklara karşı sağlamlaştırmaktır. Kuruluşlar Microsoft 365'i benimsedikçe, bazı ağ hizmetleri ve veriler kısmen veya tamamen buluta geçirilir. Ağ mimarisinde yapılan temel değişikliklere gelince, bu işlem yeni faktörleri dikkate alan ağ güvenliğinin yeniden değerlendirilmesini gerektirir:
- Bulut hizmetleri benimsendikçe, ağ hizmetleri ve veriler şirket içi veri merkezleriyle bulut arasında dağıtılır ve çevre güvenliği artık tek başına yeterli değildir.
- Uzak kullanıcılar hem şirket içi veri merkezlerindeki hem de buluttaki şirket kaynaklarına ev, otel ve kafe gibi kontrolsüz konumlardan bağlanır.
- Amaca yönelik güvenlik özellikleri bulut hizmetlerinde giderek daha fazla yerleşik hale getiriliyor ve mevcut güvenlik sistemlerini destekleyebilir veya değiştirebilir.
Microsoft çok çeşitli Microsoft 365 güvenlik özellikleri sunar ve Microsoft 365 için veri ve ağ güvenliğini sağlamanıza yardımcı olabilecek en iyi güvenlik uygulamalarını kullanmaya yönelik açıklayıcı yönergeler sağlar. Önerilen en iyi yöntemler şunlardır:
Çok faktörlü kimlik doğrulamasını (MFA) kullanma MFA, kullanıcıların parolalarını doğru girdikten sonra akıllı telefonlarında telefon aramasını, kısa mesajı veya uygulama bildirimini kabul etmelerini gerektirerek güçlü bir parola stratejisine ek bir koruma katmanı ekler.
Anormal etkinlikleri izlemek ve üzerinde işlem yapmak için Microsoft Defender for Cloud Apps yapılandırma ilkelerini kullanın. Yöneticilerin büyük miktarda veri indirme, birden fazla başarısız oturum açma girişimi veya bilinmeyen veya tehlikeli bir IP adreslerinden bağlantılar gibi olağan dışı veya riskli kullanıcı etkinliklerini gözden geçirebilmesi için Microsoft Defender for Cloud Apps ile uyarılar ayarlayın.
Veri Kaybı Önlemeyi Yapılandırma (DLP) DLP, hassas verileri belirlemenize ve kullanıcılarınızın verileri yanlışlıkla veya kasıtlı olarak paylaşmasını önlemeye yardımcı olan ilkeler oluşturmanıza olanak tanır. DLP, kullanıcılarınızın iş akışlarını kesintiye uğratmadan uyumlu kalabilmesi için Exchange Online, SharePoint Online ve OneDrive dahil olmak üzere Microsoft 365 genelinde çalışır.
Müşteri Kasası kullanma Microsoft 365 yöneticisi olarak, bir Microsoft destek mühendisinin yardım oturumu sırasında verilerinize nasıl erişebileceğini denetlemek için Müşteri Kasası'nu kullanabilirsiniz. Mühendisin bir sorunu gidermek ve düzeltmek için verilerinize erişmesi gereken durumlarda, Müşteri Kasası erişim isteğini onaylamanıza veya reddetmenize olanak tanır.
Güvenli Puan Office 365 Riski daha da azaltmak için neler yapabileceğinizi öneren bir güvenlik analizi aracı kullanın. Güvenli Puan, Microsoft 365 ayarlarınıza ve etkinliklerinize bakar ve bunları Microsoft tarafından oluşturulan temelle karşılaştırır. En iyi güvenlik uygulamalarıyla ne kadar uyumlu olduğunuzu temel alan bir puan alırsınız.
Gelişmiş güvenlik için bütünsel bir yaklaşım aşağıdakileri dikkate almalıdır:
- Bulut tabanlı ve Office istemci güvenlik özelliklerini uygulayarak çevre güvenliğinden uç nokta güvenliğine doğru geçiş vurgusu.
- Güvenlik çevresini veri merkezine küçültme
- Ofis içindeki veya uzak konumlardaki kullanıcı cihazları için eşdeğer güveni etkinleştirme
- Veri konumunun ve kullanıcı konumunun güvenliğini sağlamaya odaklanma
- Yönetilen kullanıcı makineleri uç nokta güvenliği konusunda daha yüksek güvene sahiptir
- Tüm bilgi güvenliğini bütünsel olarak yönetin, yalnızca çevresine odaklanmayı değil
- Güvenilen trafiğin güvenlik cihazlarını atlamasına izin vererek ve yönetilmeyen cihazları konuk Wi-Fi ağlarına ayırarak WAN'ı yeniden tanımlama ve çevre ağı güvenliğini oluşturma
- Kurumsal WAN kenarının ağ güvenlik gereksinimlerini azaltma
- Güvenlik duvarları gibi bazı ağ çevre güvenlik cihazları hala gereklidir, ancak yük azaltılır
- Microsoft 365 trafiği için yerel çıkış sağlar
- İyileştirmeler Artımlı iyileştirme bölümünde açıklandığı gibi artımlı olarak ele alınabilir. Bazı iyileştirme teknikleri, ağ mimarinize bağlı olarak daha iyi maliyet/avantaj oranları sunabilir ve kuruluşunuz için en anlamlı iyileştirmeleri seçmeniz gerekir.
Microsoft 365 güvenliği ve uyumluluğu hakkında daha fazla bilgi için 365 güvenliği ve purview Microsoft Microsoft makalelere bakın.
Artımlı iyileştirme
Bu makalenin başlarında SaaS için ideal ağ bağlantı modelini temsil ettik, ancak geçmişe dönük olarak karmaşık ağ mimarileri olan birçok büyük kuruluş için bu değişikliklerin tümünü doğrudan yapmak pratik olmayacaktır. Bu bölümde, Microsoft 365 performansını ve güvenilirliğini geliştirmeye yardımcı olabilecek bir dizi artımlı değişiklik ele alınacağız.
Microsoft 365 trafiğini iyileştirmek için kullanacağınız yöntemler, ağ topolojinize ve uyguladığınız ağ cihazlarına bağlı olarak değişir. Birçok konumu ve karmaşık ağ güvenlik uygulamaları olan büyük kuruluşların Microsoft 365 bağlantı ilkeleri bölümünde listelenen ilkelerin çoğunu veya tümünü içeren bir strateji geliştirmesi gerekirken, daha küçük kuruluşların yalnızca bir veya iki tanesini dikkate almaları gerekebilir.
İyileştirmeye artımlı bir işlem olarak yaklaşabilir ve her yöntemi art arda uygulayabilirsiniz. Aşağıdaki tabloda, en fazla kullanıcı için gecikme süresi ve güvenilirlik üzerindeki etkileri için anahtar iyileştirme yöntemleri listelenmektedir.
| İyileştirme yöntemi | Açıklama | Etki |
|---|---|---|
| Yerel DNS çözümlemesi ve İnternet çıkışı |
Her konumda yerel DNS sunucuları sağlayın ve Microsoft 365 bağlantılarının kullanıcının konumuna mümkün olduğunca yakın İnternet'e çıkışını sağlayın. |
Gecikme süresini en aza indirme En yakın Microsoft 365 giriş noktasına güvenilir bağlantıyı geliştirme |
| Bölgesel çıkış noktaları ekleme |
Şirket ağınızda birden çok konum varsa ancak yalnızca bir çıkış noktası varsa, kullanıcıların en yakın Microsoft 365 giriş noktasına bağlanmasını sağlamak için bölgesel çıkış noktaları ekleyin. |
Gecikme süresini en aza indirme En yakın Microsoft 365 giriş noktasına güvenilir bağlantıyı geliştirme |
| Proxy'leri ve denetleme cihazlarını atlama |
Çıkış noktalarına doğrudan Microsoft 365 istekleri gönderen PAC dosyalarıyla tarayıcıları yapılandırın. Uç yönlendiricileri ve güvenlik duvarlarını Microsoft 365 trafiğine denetim olmadan izin vermek için yapılandırın. |
Gecikme süresini en aza indirme Ağ cihazlarında yükü azaltma |
| VPN kullanıcıları için doğrudan bağlantıyı etkinleştirme |
VPN kullanıcıları için, Microsoft 365 bağlantılarının bölünmüş tünel uygulayarak VPN tüneli üzerinden değil doğrudan kullanıcının ağından bağlanmasını etkinleştirin. |
Gecikme süresini en aza indirme En yakın Microsoft 365 giriş noktasına güvenilir bağlantıyı geliştirme |
| Geleneksel WAN'dan SD-WAN'a geçiş |
SD-WANs (Yazılım Tanımlı Geniş Alan Ağları), sanal makineleri (VM) kullanarak işlem kaynaklarını sanallaştırmaya benzer şekilde geleneksel WAN yönlendiricilerini sanal gereçlerle değiştirerek WAN yönetimini basitleştirir ve performansı geliştirir. |
WAN trafiğinin performansını ve yönetilebilirliğini geliştirme Ağ cihazlarında yükü azaltma |
İlgili konular
Microsoft 365 Ağ Bağlantısına Genel Bakış
Office 365 uç noktalarını yönetme
Office 365 URL'leri ve IP adresi aralıkları
Office 365 IP Adresi ve URL Web hizmeti
Microsoft 365 ağ bağlantısını değerlendirme
Microsoft 365 için ağ planlama ve performans ayarlama
Temelleri ve performans geçmişini kullanarak performans ayarlamayı Office 365
Office 365 için performans sorunlarını giderme planı