Microsoft 365 网络连接原则
本文适用于 Microsoft 365 企业版和 Office 365 企业版。
在开始规划 Microsoft 365 网络连接的网络之前,请务必了解安全管理 Microsoft 365 流量和获得最佳性能的连接原则。 本文可帮助你了解有关安全优化 Microsoft 365 网络连接的最新指南。
传统的企业网络旨在为用户提供对由企业运营的数据中心中数据的访问权限,这些数据中心会采用强安全外围。 传统模型假设用户会在企业网络外围内,通过分支机构的广域网链接或通过 VPN 连接远程访问应用程序和数据。
采用诸如 Microsoft 365 之类的 SaaS 应用程序将一部分服务和数据组合移动到网络外围之外。 如果不进行优化,用户与 SaaS 应用程序之间的流量将受到包检查、网络环回、无意连接到地理距离遥远的终结点以及其他因素带来的延迟。 可通过理解和实现关键优化原则来确保最佳的 Microsoft 365 性能和可靠性。
在本文中,你将了解:
- 当应用于客户到云的连接时,Microsoft 365 的体系结构
- 更新版 Microsoft 365 连接原则和策略,帮助你优化网络流量和最终用户体验
- Office 365 终结点 Web 服务,允许网络管理员在优化网络时使用终结点的结构化列表
- 有关优化与 Microsoft 365 服务的连接的指南
- 将网络外围安全与终结点安全进行比较
- Microsoft 365 流量增量优化选项
- Microsoft 365 连接测试,可用于测试到 Microsoft 365 的基本连接的全新工具
Microsoft 365 体系结构
Microsoft 365 是一种分布式软件即服务 (SaaS) 云,它通过一组不同的微服务和应用程序提供生产力和协作方案。 示例包括Exchange Online、SharePoint Online、Microsoft Teams、Exchange Online Protection、浏览器中的 Office 等。 虽然特定的 Microsoft 365 应用程序可能具有其独特的功能,因为它适用于客户网络和与云的连接,但它们都共享一些关键主体、目标和体系结构模式。 这些连接原则和体系结构模式是许多其他 SaaS 云的典型特征。 同时,它们与平台即服务云和基础结构即服务云(如 Microsoft Azure)的典型部署模型不同。
Microsoft 365 (最重要的体系结构功能之一经常被网络架构师) 错过或误解,即它是一个真正的全球分布式服务,在用户如何连接到该服务的上下文中。 目标 Microsoft 365 租户的位置对于了解云中存储客户数据的位置非常重要。 但是,Microsoft 365 的用户体验不涉及直接连接到包含数据的磁盘。 Microsoft 365 中的用户体验(包括性能、可靠性和其他重要的质量特征)涉及到通过高分布式服务前门实现连接,这些前门通过全球数百个 Microsoft 位置进行横向扩展。 在大多数情况下,最佳用户体验是通过允许客户网络将用户请求路由到最近的 Microsoft 365 服务入口点来实现的。 这比通过中心位置或区域中的出口点连接到 Microsoft 365 更可取。
绝大多数客户的 Microsoft 365 用户分布在多个位置。 为了获得最佳结果,应从横向扩展 (而不是纵向扩展) 的角度看待本文档中概述的原则。 同时专注于优化与 Microsoft 全球网络中最近的接入点的连接,而不是与 Microsoft 365 租户的地理位置的连接。 实质上,这意味着,即使 Microsoft 365 租户数据可能存储在特定的地理位置,该租户的 Microsoft 365 体验仍保持分布式。 它可以出现在非常接近 (网络中,) 靠近租户的每个最终用户位置。
Microsoft 365 连接原则
Microsoft 建议按照以下原则获取最佳的 Microsoft 365 连接和性能。 使用这些 Microsoft 365 连接原则管理流量,并在连接到 Microsoft 365 时获得最佳性能。
网络设计中的主要目标是通过减少从您的网络到 Microsoft 全球网络、互连所有低延迟 Microsoft 数据中心的 Microsoft 公共主干网,以及遍布全球的应用程序入口点的往返时间 (RTT),最大程度地降低延迟。 有关 Microsoft 全球网络的详细信息,请参阅 Microsoft 构建其快速可靠的全球网络。
识别并区分 Microsoft 365 流量
若要从普通的 Internet 绑定网络流量中区分 Microsoft 365 网络流量,第一步需要先识别。 可以通过实现网络路由优化、防火墙规则、浏览器代理设置等方法的组合来优化 Microsoft 365 连接。 此外,绕过某些终结点的网络检查设备也很有用。
有关 Microsoft 365 优化方法的详细信息,请参阅 优化与 Microsoft 365 服务的连接 部分。
现在,Microsoft 将所有 Microsoft 365 终结点作为 Web 服务发布,并提供有关如何充分利用这些数据的指南。 有关如何获取和使用 Microsoft 365 终结点的详细信息,请参阅文章 Office 365 URL 和 IP 地址范围。
实现本地连接出口
本地 DNS 和 Internet 出口对于降低连接延迟和确保将用户连接到 Microsoft 365 服务的最接近进入点至关重要。 在复杂的网络拓扑中,必须同时实现本地 DNS 和本地 Internet 出口。 有关 Microsoft 365 如何将客户端连接路由到最近的入口点的详细信息,请参阅文章客户端连接。
在 Microsoft 365 等云服务还没有出现之前,作为网络体系结构中一项设计要素的最终用户 Internet 连接相对比较简单。 当 Internet 服务和网站分布在全球各地,公司出口点与任何给定目标终结点之间的延迟基本上就是地理距离的功能。
传统的网络体系结构中,所有出站 Internet 连接都会遍历公司网络,并从中央位置流出。 随着 Microsoft 云产品的成熟,面向 Internet 的分布式网络体系结构,对支持对延迟敏感的云服务变得至关重要。 “分布式服务前门”基础结构是一种动态结构,在全球拥有众多入口点,能够将流入的云服务连接路由到最近的入口点。而 Microsoft 全球网络正是采用该基础结构,以满足对于延迟的要求。 其目的是通过有效缩短客户和云服务之间的路线,减少 Microsoft 云客户“最后一公里”的长度。
企业广域网通常设计为将网络流量回程到企业总部(通常通过一个或多个代理服务器),以便在流出到 Internet前进行检查。 下图演示了此类网络拓扑。
由于 Microsoft 365 在 Microsoft 全球网络(包括世界各地的前端服务器)上运行,因此通常有一个靠近用户位置的前端服务器。 通过提供本地 Internet 出口,以及通过配置内部 DNS 服务器为 Microsoft 365 终结点提供本地名称解析,发往 Microsoft 365 的网络流量可连接到与用户尽可能近的 Microsoft 365 前端服务器。 下图显示了一个网络拓扑示例,该拓扑允许用户从main办公室、分支机构和远程位置进行连接,以遵循到最近的 Microsoft 365 入口点的最短路由。
以这种方式缩短到 Microsoft 365 入口点的网络路径可以提高连接性能和 Microsoft 365 中的最终用户体验。 它还有助于减少未来网络体系结构更改对 Microsoft 365 性能和可靠性的影响。
此外,如果响应的 DNS 服务器距离太远或忙,则 DNS 请求会导致延迟。 可以通过在分支位置预配本地 DNS 服务器,并确保它们配置为适当缓存 DNS 记录,从而最大程度地减少名称解析延迟。
虽然区域出口可以很好地适用于 Microsoft 365,但最佳连接模型是始终在用户位置提供网络出口,无论它是在企业网络还是远程位置(如家庭、酒店、咖啡店和机场)。 下图显示了此本地直接出口模型。
已采用 Microsoft 365 的企业可通过确保用户连接到 Microsoft 365 采用尽可能最短的路线,连接到最近的 Microsoft 全球网络入口点,从而充分利用 Microsoft 全球网络分布式服务前门体系结构的优势。 本地出口网络体系结构实现此效果的方式为:无论用户在什么位置,都允许通过最近的出口来路由 Microsoft 365 流量。
与传统模型相比,本地出口体系结构具有以下优点:
- 通过优化线路长度,提供最佳 Microsoft 365 性能。 最终用户连接通过分布式服务前端基础结构动态路由到最近的 Microsoft 365 入口点。
- 通过允许本地出口,减轻公司网络基础结构负载。
- 使用客户端终结点安全性和云安全功能保护两端的连接。
避免网络回流
作为一般经验法则,用户和最近的 Microsoft 365 终结点之间的最短、最直接的路由可提供最佳性能。 当绑定到特定目标的广域网或 VPN 通信首次定向到另一个中间位置(例如,安全堆栈、云访问代理、基于云的 web 网关的)时,会出现网络回流,导致延迟以及潜在重定向到地理位置较远的终结点。 网络发夹也是由路由/对等互连效率低下或远程) DNS 查找 (欠佳引起的。
为确保即使在本地出口情况下,Microsoft 365 连接也不会受到网络发夹的约束,检查用于为用户位置提供 Internet 出口的 ISP 是否与靠近该位置的 Microsoft 全球网络建立了直接对等互连关系。 可能还需要配置出口路由,以直接发送受信任的 Microsoft 365 流量。 这与通过处理 Internet 绑定流量的第三方云或基于云的网络安全供应商进行代理或隧道相反。 Microsoft 365 终结点的本地 DNS 名称解析有助于确保除直接路由外,最近的 Microsoft 365 入口点用于用户连接。
如果对 Microsoft 365 流量使用基于云的网络或安全服务,请确保评估发夹的结果,并了解其对 Microsoft 365 性能的影响。 为此,可以检查服务提供商位置的数量和位置,通过这些位置将流量转发到分支机构和 Microsoft 全球网络对等互连点的数量和位置、服务提供商与 ISP 和 Microsoft 的网络对等互连关系的质量,以及服务提供商基础结构中回程的性能效果。
由于具有 Microsoft 365 入口点的分布式位置数量众多,并且它们靠近最终用户,因此,如果提供商网络未配置最佳 Microsoft 365 对等互连,将 Microsoft 365 流量路由到任何第三方网络或安全提供商可能会对 Microsoft 365 连接产生不利影响。
评估跳过代理、流量检查设备以及重复安全技术
企业客户应查看其网络安全性和风险降低方法,尤其是针对 Microsoft 365 绑定流量,并使用 Microsoft 365 安全功能来降低对 Microsoft 365 网络流量的侵入性、性能影响和昂贵网络安全技术的依赖性。
大多数企业网络使用代理、TLS 检查、数据包检查和数据丢失防护系统等技术为 Internet 流量强制实施网络安全。 这些技术为普通的 Internet 请求提供了重要的风险缓解,但在应用到 Microsoft 365 终结点时,可显著降低性能、可扩展性和最终用户体验。
Office 365 终结点 Web 服务
Microsoft 365 管理员可使用脚本或 REST 调用,从 Office 365 终结点 Web 服务中使用终结点的结构化列表,并更新外围防火墙和其他网络设备的 Web 服务。 这可确保对绑定到 Microsoft 365 的流量进行标识、适当处理和管理,这与一般 Internet 网站(通常为未知 Internet 网站)绑定的网络流量不同。 有关如何使用 Office 365 终结点 Web 服务的详细信息,请参阅文章 Office 365 URL 和 IP 地址范围。
PAC(代理自动配置)脚本
Microsoft 365 管理员可以创建 PAC(代理自动配置)脚本,该脚本可通过 WPAD 或 GPO 传送到用户计算机。 可使用 PAC 脚本绕过广域网或 VPN 用户提出的 Microsoft 365 代理请求,允许 Microsoft 365 流量使用直接 Internet 连接,而不是遍历公司网络。
Microsoft 365 安全功能
Microsoft 对数据中心安全、运营安全、Microsoft 365 服务器附近的风险降低及其代表的网络终结点保持透明。 Microsoft 365 内置安全功能可用于降低网络安全风险,例如Microsoft Purview 数据丢失防护、防病毒、多重身份验证、客户密码箱、Defender for Office 365、Microsoft 365 威胁情报、Microsoft 365 安全功能分数、Exchange Online Protection和网络 DDOS 安全性。
有关 Microsoft 数据中心和全球网络安全性的详细信息,请参阅 Microsoft 信任中心。
优化与 Microsoft 365 服务的连接
Microsoft 365 服务是动态、相互依赖且深度集成的产品、应用程序和服务的集合。 配置和优化与 Microsoft 365 服务的连接时,将特定终结点 (域) 与几个 Microsoft 365 方案链接在网络级别实现允许列表是不可行的。 Microsoft 不支持选择性允许列表,因为它会导致用户的连接和服务事件。 因此,网络管理员应始终将 Microsoft 365 网络允许列表和常见网络优化指南应用于一组完整的必需网络终结点, (定期 发布 和更新的域) 。 虽然我们正在简化 Microsoft 365 网络终结点以响应客户反馈,但网络管理员应注意当前现有终结点集中的以下核心模式:
- 如果可能,已发布的域终结点将包含通配符,以显著减少客户的网络配置工作量。
- Microsoft 365 宣布了 (cloud.microsoft) 的域合并计划,为客户提供了一种方法来简化其网络配置,并自动将此域的网络优化累加到许多当前和未来的 Microsoft 365 服务。
- 独占使用 cloud.microsoft 根域进行安全隔离和特定功能。 这使客户网络和安全团队能够信任 Microsoft 365 域,同时改善与这些终结点的连接,并避免不必要的网络安全处理。
- 某些终结点定义指定与其域对应的唯一 IP 前缀。 此功能支持具有复杂网络结构的客户,使他们能够利用 IP 前缀详细信息应用精确的网络优化。
对于所有 “必需” Microsoft 365 网络终结点 (域) 和类别,建议使用以下网络配置:
- 明确允许用户连接通过 (网络设备和服务中的 Microsoft 365 网络终结点,例如代理、防火墙、DNS、基于云的网络安全解决方案等网络外围安全设备 )
- 从 TLS 解密、流量拦截、深度数据包检查以及网络数据包和内容筛选中绕过 Microsoft 365 域。 请注意,在非受信任/非托管应用程序上下文中,客户使用这些网络技术的许多结果都可以通过 Microsoft 365 安全功能本机实现。
- 应优先考虑 Microsoft 365 域的直接 Internet 访问,方法是减少对广域网 (WAN) 回程的依赖,避免网络发夹,并使本地用户和直接流向 Microsoft 网络的 Internet 流出效率更高。
- 确保 DNS 名称解析发生在靠近网络出口的地方,以确保通过最佳 Microsoft 365 前门提供连接。
- 确定网络路径上的 Microsoft 365 连接优先级,确保 Microsoft 365 体验的容量和服务质量。
- 绕过代理和 VPN 服务等流量中介设备。
具有复杂网络拓扑、实现网络优化(如自定义路由、基于 IP 的代理旁路和拆分隧道 VPN)的客户可能还需要域的 IP 前缀信息。 为了方便这些客户方案,Microsoft 365 网络终结点分为多个类别,以优先处理和简化这些附加网络优化的配置。 在 “优化” 和 “允许” 类别下分类的网络终结点具有较高的流量,并且对网络延迟和性能敏感,客户可能希望首先优化与这些终结点的连接。 “优化”和“允许”类别下的网络终结点具有 IP 地址以及域。 分类为 “默认” 类别的网络终结点没有与其关联的 IP 地址,因为它们本质上更具动态性,IP 地址会随时间而变化。
其他网络注意事项
优化与 Microsoft 365 的连接时,某些网络配置可能会对 Microsoft 365 可用性、互操作性、性能和用户体验产生负面影响。 Microsoft 尚未使用我们的服务测试以下网络方案,并且已知它们会导致连接问题。
- 使用客户代理或其他类型的网络设备或服务对任何 M365 域进行 TLS 终止或深度数据包检查。
- 通过中间网络基础结构或服务阻止特定协议或协议版本,例如 QUIC、WebSocket 等。
- 强制降级或故障转移协议 (,例如 UDP --> TCP、TLS1.3 --> TLS1.2 --> TLS1.1) 客户端应用程序和 Microsoft 365 服务之间使用。
- 通过应用自己的身份验证(例如代理身份验证)的网络基础结构路由连接。
我们建议客户避免将这些网络技术用于发往 Microsoft 365 域的流量,并绕过这些技术进行 Microsoft 365 连接。
Microsoft 建议设置自动化系统,以便定期下载和应用 M365 网络终结点列表。 有关详细信息,请参阅 Microsoft 365 IP 地址和 URL 的更改管理。
将网络外围安全与终结点安全进行比较
传统的网络安全的目标是强化公司网络外围,防范入侵和恶意漏洞。 随着组织采用 Microsoft 365,部分网络服务和数据被部分或完全迁移到云。 正如对网络体系结构的进行任何基础更改,此过程需考虑到新兴因素,对网络安全进行重新评估:
- 随着采用云服务,网络服务和数据分布在本地数据中心和云之间,而外围安全不再足以满足新的需求。
- 远程用户连接到本地数据中心中的公司资源和云中来自不受控制的位置(如家中、酒店和咖啡店)。
- 专门构建的安全功能越来越多地内置到了云服务中,并可以补充或替换现有安全系统。
Microsoft 提供了一系列 Microsoft 365 安全功能,并提供了采用安全性最佳做法的规范性指南,可帮助你确保 Microsoft 365 的数据和网络安全。 建议的最佳做法包括:
使用多重身份验证 (MFA) MFA 要求用户在正确输入密码后确认其智能手机上的电话呼叫、短信或应用通知,从而为强密码策略增加了额外的保护层。
使用 Microsoft Defender for Cloud Apps 配置策略以跟踪异常活动并做出应对。 使用Microsoft Defender for Cloud Apps设置警报,以便管理员可以查看异常或有风险的用户活动,例如下载大量数据、多次失败的登录尝试或来自未知或危险的 IP 地址的连接。
配置数据丢失防护 (DLP) DLP 可用于识别敏感数据并创建有助于防止用户意外或有意共享数据的策略。 DLP 可跨 Microsoft 365 服务进行工作,包括 Exchange Online、SharePoint Online 和 OneDrive,以便你的用户在不中断工作流的情况下保持合规。
使用客户密钥箱 作为 Microsoft 365 管理员,你可以使用客户密码箱来控制 Microsoft 技术支持工程师在帮助会话期间访问你数据的方式。 如果工程师需要访问您的数据以进行故障排除和解决问题,那么您可以使用客户锁箱批准或拒绝该访问请求。
使用安全功能分数 一个安全分析工具,建议可以执行哪些操作来进一步降低风险。 安全功能分数会查看你的 Microsoft 365 设置和活动,并将它们与 Microsoft 建立的基线进行比较。 根据你与最佳安全做法的一致性来获取分数。
要想全面提升安全性,则需要考虑以下方面:
- 通过应用基于云的和 Office 客户端安全功能,从关注周边安全转向关注终结点安全。
- 将安全外围缩小到数据中心
- 为在办公室或远程位置的用户设备启用同等信任
- 重点关注保护数据位置和用户位置
- 托管的用户计算机比终结点安全拥有更高的信任级别
- 全面管理所有信息安全,而不只是专注于外围
- 通过允许受信任的流量绕过安全设备,并将非托管设备与来宾 Wi-Fi 网络分隔,来重新定义广域网并构建外围网络安全
- 降低公司广域网边缘的网络安全要求
- 仍需要某些网络外围安全设备(例如,防火墙),但负载降低了
- 确保 Microsoft 365 流量的本地出口
- 可按照增量优化章节中的说明逐步解决改进。 某些优化技术可能会根据网络体系结构提供更好的成本/效益比,并且应选择对组织最有意义的优化。
更多有关 Microsoft 365 安全性和合规性的信息,请参阅 Microsoft 365 安全 和 Microsoft Purview 的文章。
增量优化
本文前面已介绍 SaaS 的理想网络连接模型,但对于许多具有历史复杂网络体系结构的大型组织来说,直接进行所有这些更改是不切实际的。 在本部分中,我们将讨论许多有助于提高 Microsoft 365 性能和可靠性的增量更改。
用于优化 Microsoft 365 流量的方法因网络拓扑和已实现的网络设备而异。 具有许多位置和复杂网络安全做法的大型企业需要制定一个策略,其中包括 Microsoft 365 连接原则 部分中列出的大部分或全部原则,而小型组织可能只需要考虑一两个原则。
可采用递增的方式进行优化,即依次应用每个方法。 下表列出了关键优化方法,这些方法对最大用户数的延迟和可靠性的影响顺序排列。
优化方法 | 说明 | 影响 |
---|---|---|
本地 DNS 解析和 Internet 出口 | 预配每个位置中的本地 DNS 服务器,并确保 Microsoft 365 连接出口到 Internet 心可能靠近用户位置。 | 最小化延迟 提升与最近的 Microsoft 365 入口点的可靠连接 |
添加区域出口点 | 如果公司网络有多个位置,但仅有一个出口点,则添加区域出口点可让用户能够连接到最近的 Microsoft 365 入口点。 | 最小化延迟 提升与最近的 Microsoft 365 入口点的可靠连接 |
跳过代理和检查设备 | 将带 PAC 文件的浏览器配置为直接向出口点发送 Microsoft 365 请求。 配置边缘路由器和防火墙,无需检查即可允许 Microsoft 365 流量。 |
最小化延迟 减少网络设备负载 |
为 VPN 用户启用直接连接 | 对于 VPN 用户,可通过实现拆分隧道来启用 Microsoft 365 连接,直接从用户的网络进行连接,而不是通过 VPN 隧道。 | 最小化延迟 提升与最近的 Microsoft 365 入口点的可靠连接 |
从传统广域网迁移到 SD 广域网 | SD 广域网(软件定义的广域网)通过将传统广域网路由器替换为虚拟设备(类似于使用虚拟机 (VM) 实现计算资源的虚拟化),简化广域网管理并提高性能。 | 改善广域网流量的性能和可管理性 减少网络设备负载 |