Microsoft 365 网络连接原则

本文适用于 Microsoft 365 企业版和 Office 365 企业版。

在开始规划 Microsoft 365 网络连接的网络之前,请务必了解安全管理 Microsoft 365 流量和获得最佳性能的连接原则。 本文可帮助你了解有关安全优化 Microsoft 365 网络连接的最新指南。

传统的企业网络旨在为用户提供对由企业运营的数据中心中数据的访问权限,这些数据中心会采用强安全外围。 传统模型假设用户会在企业网络外围内,通过分支机构的广域网链接或通过 VPN 连接远程访问应用程序和数据。

采用诸如 Microsoft 365 之类的 SaaS 应用程序将一部分服务和数据组合移动到网络外围之外。 如果不进行优化,用户与 SaaS 应用程序之间的流量将受到包检查、网络环回、无意连接到地理距离遥远的终结点以及其他因素带来的延迟。 可通过理解和实现关键优化原则来确保最佳的 Microsoft 365 性能和可靠性。

在本文中,你将了解:

Microsoft 365 体系结构

Microsoft 365 是一种分布式软件即服务 (SaaS) 云,它通过一组不同的微服务和应用程序提供生产力和协作方案。 示例包括Exchange Online、SharePoint Online、Skype for Business Online、Microsoft Teams、Exchange Online Protection、浏览器中的 Office 等。 虽然特定的 Microsoft 365 应用程序可能具有其独特的功能,因为它适用于客户网络和与云的连接,但它们都共享一些关键主体、目标和体系结构模式。 这些连接原则和体系结构模式是许多其他 SaaS 云的典型特征。 同时,它们与平台即服务云和基础结构即服务云(如 Microsoft Azure)的典型部署模型不同。

Microsoft 365 (最重要的体系结构功能之一经常被网络架构师) 错过或误解,即它是一个真正的全球分布式服务,在用户如何连接到该服务的上下文中。 目标 Microsoft 365 租户的位置对于了解云中存储客户数据的位置非常重要。 但是,Microsoft 365 的用户体验不涉及直接连接到包含数据的磁盘。 Microsoft 365 中的用户体验(包括性能、可靠性和其他重要的质量特征)涉及到通过高分布式服务前门实现连接,这些前门通过全球数百个 Microsoft 位置进行横向扩展。 在大多数情况下,最佳用户体验是通过允许客户网络将用户请求路由到最近的 Microsoft 365 服务入口点来实现的。 这比通过中心位置或区域中的出口点连接到 Microsoft 365 更可取。

绝大多数客户的 Microsoft 365 用户分布在多个位置。 为了获得最佳结果,应从横向扩展 (而不是纵向扩展) 的角度看待本文档中概述的原则。 同时专注于优化与 Microsoft 全球网络中最近的接入点的连接,而不是与 Microsoft 365 租户的地理位置的连接。 实质上,这意味着,即使 Microsoft 365 租户数据可能存储在特定的地理位置,该租户的 Microsoft 365 体验仍保持分布式。 它可以出现在非常接近 (网络中,) 靠近租户的每个最终用户位置。

Microsoft 365 连接原则

Microsoft 建议按照以下原则获取最佳的 Microsoft 365 连接和性能。 使用这些 Microsoft 365 连接原则管理流量,并在连接到 Microsoft 365 时获得最佳性能。

网络设计中的主要目标是通过减少从您的网络到 Microsoft 全球网络、互连所有低延迟 Microsoft 数据中心的 Microsoft 公共主干网,以及遍布全球的应用程序入口点的往返时间 (RTT),最大程度地降低延迟。 有关 Microsoft 全球网络的详细信息,请参阅 Microsoft 构建其快速可靠的全球网络

识别并区分 Microsoft 365 流量

识别 Microsoft 365 流量。

若要从普通的 Internet 绑定网络流量中区分 Microsoft 365 网络流量,第一步需要先识别。 可以通过实现网络路由优化、防火墙规则、浏览器代理设置等方法的组合来优化 Microsoft 365 连接。 此外,绕过某些终结点的网络检查设备也很有用。

以前的 Microsoft 365 优化指南将 Microsoft 365 终结点分为两个类别,分别为“必需”和“可选”。 为支持新的 Microsoft 365 服务和功能,已添加相应终结点。目前,我们将 Microsoft 365 终结点分为三个类别:“优化”、“允许”和“默认”。 每个类别的指南适用于类别中的所有终结点,使优化更易于理解和实施。

有关 Microsoft 365 终结点类别和优化方法的详细信息,请参阅新的 Office 365 终结点类别章节。

现在,Microsoft 将所有 Microsoft 365 终结点作为 Web 服务发布,并提供有关如何充分利用这些数据的指南。 有关如何获取和使用 Microsoft 365 终结点的详细信息,请参阅文章 Office 365 URL 和 IP 地址范围

实现本地连接出口

本地出口网络连接。

本地 DNS 和 Internet 出口对于降低连接延迟和确保将用户连接到 Microsoft 365 服务的最接近进入点至关重要。 在复杂的网络拓扑中,必须同时实现本地 DNS 和本地 Internet 出口。 有关 Microsoft 365 如何将客户端连接路由到最近的入口点的详细信息,请参阅文章客户端连接

在 Microsoft 365 等云服务还没有出现之前,作为网络体系结构中一项设计要素的最终用户 Internet 连接相对比较简单。 当 Internet 服务和网站分布在全球各地,公司出口点与任何给定目标终结点之间的延迟基本上就是地理距离的功能。

传统的网络体系结构中,所有出站 Internet 连接都会遍历公司网络,并从中央位置流出。 随着 Microsoft 云产品的成熟,面向 Internet 的分布式网络体系结构,对支持对延迟敏感的云服务变得至关重要。 “分布式服务前门”基础结构是一种动态结构,在全球拥有众多入口点,能够将流入的云服务连接路由到最近的入口点。而 Microsoft 全球网络正是采用该基础结构,以满足对于延迟的要求。 其目的是通过有效缩短客户和云服务之间的路线,减少 Microsoft 云客户“最后一公里”的长度。

企业广域网通常设计为将网络流量回程到企业总部(通常通过一个或多个代理服务器),以便在流出到 Internet前进行检查。 下图演示了此类网络拓扑。

传统的企业网络模型。

由于 Microsoft 365 在 Microsoft 全球网络(包括世界各地的前端服务器)上运行,因此通常有一个靠近用户位置的前端服务器。 通过提供本地 Internet 出口,以及通过配置内部 DNS 服务器为 Microsoft 365 终结点提供本地名称解析,发往 Microsoft 365 的网络流量可连接到与用户尽可能近的 Microsoft 365 前端服务器。 下图显示了一个网络拓扑示例,该拓扑允许用户从main办公室、分支机构和远程位置进行连接,以遵循到最近的 Microsoft 365 入口点的最短路由。

带有区域出口点的广域网网络模型。

以这种方式缩短到 Microsoft 365 入口点的网络路径可以提高连接性能和 Microsoft 365 中的最终用户体验。 它还有助于减少未来网络体系结构更改对 Microsoft 365 性能和可靠性的影响。

此外,如果响应的 DNS 服务器距离太远或忙,则 DNS 请求会导致延迟。 可以通过在分支位置预配本地 DNS 服务器,并确保它们配置为适当缓存 DNS 记录,从而最大程度地减少名称解析延迟。

虽然区域出口可以很好地适用于 Microsoft 365,但最佳连接模型是始终在用户位置提供网络出口,无论它是在企业网络还是远程位置(如家庭、酒店、咖啡店和机场)。 下图显示了此本地直接出口模型。

本地出口网络体系结构。

已采用 Microsoft 365 的企业可通过确保用户连接到 Microsoft 365 采用尽可能最短的路线,连接到最近的 Microsoft 全球网络入口点,从而充分利用 Microsoft 全球网络分布式服务前门体系结构的优势。 本地出口网络体系结构实现此效果的方式为:无论用户在什么位置,都允许通过最近的出口来路由 Microsoft 365 流量。

与传统模型相比,本地出口体系结构具有以下优点:

  • 通过优化线路长度,提供最佳 Microsoft 365 性能。 最终用户连接通过分布式服务前端基础结构动态路由到最近的 Microsoft 365 入口点。
  • 通过允许本地出口,减轻公司网络基础结构负载。
  • 使用客户端终结点安全性和云安全功能保护两端的连接。

避免网络回流

避免回流。

作为一般经验法则,用户和最近的 Microsoft 365 终结点之间的最短、最直接的路由可提供最佳性能。 当绑定到特定目标的广域网或 VPN 通信首次定向到另一个中间位置(例如,安全堆栈、云访问代理、基于云的 web 网关的)时,会出现网络回流,导致延迟以及潜在重定向到地理位置较远的终结点。 网络发夹也是由路由/对等互连效率低下或远程) DNS 查找 (欠佳引起的。

为确保即使在本地出口情况下,Microsoft 365 连接也不会受到网络发夹的约束,检查用于为用户位置提供 Internet 出口的 ISP 是否与靠近该位置的 Microsoft 全球网络建立了直接对等互连关系。 可能还需要配置出口路由,以直接发送受信任的 Microsoft 365 流量。 这与通过处理 Internet 绑定流量的第三方云或基于云的网络安全供应商进行代理或隧道相反。 Microsoft 365 终结点的本地 DNS 名称解析有助于确保除直接路由外,最近的 Microsoft 365 入口点用于用户连接。

如果对 Microsoft 365 流量使用基于云的网络或安全服务,请确保评估发夹的结果,并了解其对 Microsoft 365 性能的影响。 为此,可以检查服务提供商位置的数量和位置,通过这些位置将流量转发到分支机构和 Microsoft 全球网络对等互连点的数量和位置、服务提供商与 ISP 和 Microsoft 的网络对等互连关系的质量,以及服务提供商基础结构中回程的性能影响。

由于大量分布式位置具有 Microsoft 365 入口点,并且它们靠近最终用户,因此,如果提供商网络未配置最佳 Microsoft 365 对等互连,将 Microsoft 365 流量路由到任何第三方网络或安全提供商可能会对 Microsoft 365 连接产生负面影响。

评估跳过代理、流量检查设备以及重复安全技术

跳过代理、流量检查设备以及重复安全技术。

企业客户应查看其网络安全性和风险降低方法,尤其是针对 Microsoft 365 绑定流量,并使用 Microsoft 365 安全功能来降低对 Microsoft 365 网络流量的侵入性、性能影响和昂贵网络安全技术的依赖性。

大多数企业网络使用代理、TLS 检查、数据包检查和数据丢失防护系统等技术为 Internet 流量强制实施网络安全。 这些技术为普通的 Internet 请求提供了重要的风险缓解,但在应用到 Microsoft 365 终结点时,可显著降低性能、可扩展性和最终用户体验。

Office 365 终结点 Web 服务

Microsoft 365 管理员可使用脚本或 REST 调用,从 Office 365 终结点 Web 服务中使用终结点的结构化列表,并更新外围防火墙和其他网络设备的 Web 服务。 这可确保对绑定到 Microsoft 365 的流量进行标识、适当处理和管理,这与一般 Internet 网站(通常为未知 Internet 网站)绑定的网络流量不同。 有关如何使用 Office 365 终结点 Web 服务的详细信息,请参阅文章 Office 365 URL 和 IP 地址范围

PAC(代理自动配置)脚本

Microsoft 365 管理员可以创建 PAC(代理自动配置)脚本,该脚本可通过 WPAD 或 GPO 传送到用户计算机。 可使用 PAC 脚本绕过广域网或 VPN 用户提出的 Microsoft 365 代理请求,允许 Microsoft 365 流量使用直接 Internet 连接,而不是遍历公司网络。

Microsoft 365 安全功能

Microsoft 对数据中心安全、运营安全、Microsoft 365 服务器附近的风险降低及其代表的网络终结点保持透明。 Microsoft 365 内置安全功能可用于降低网络安全风险,例如Microsoft Purview 数据丢失防护、防病毒、多重身份验证、客户密码箱、Defender for Office 365、Microsoft 365 威胁情报、Microsoft 365 安全功能分数、Exchange Online Protection和网络 DDOS 安全性。

有关 Microsoft 数据中心和全球网络安全性的详细信息,请参阅 Microsoft 信任中心

新的 Office 365 终结点类别

Office 365 终结点代表一组不同的网络地址和子网。 终结点可能是 URL、IP 地址或 IP 范围,某些终结点使用特定的 TCP/UDP 端口列出。 URL 可以是 FQDN(如 account.office.net),也可以是通配符 URL (如 *.office365.com)。

注意

网络中的 Office 365 终结点的位置与 Microsoft 365 租户数据的位置不直接相关。 因此,客户应将 Microsoft 365 视为分布式全球服务,并且不应尝试根据地理条件阻止到 Office 365 终结点的网络连接。

在以前关于如何管理 Microsoft 365 流量的指南中,我们将终结点分为两个类别:“必需”和“可选”。 每个类别中的终结点需要不同的优化,具体取决于服务的重要性。 许多客户在将相同的网络优化应用到Office 365 URL 和 IP 地址的完整列表时面临挑战。

在新模型中,终结点分为三种类别,“优化”、“允许”和“默认”,能够基于优先级帮助客户专注于网络优化工作,从而实现最佳性能改进和投资回报。 根据对网络质量、容量、场景的性能信封以及实现易用程度等方面的有效用户体验,将终结点在上述类别中进行了整合。 可采用相同方式,将推荐优化应用于给定类别中的所有终结点。

  • 优化”终结点,连接到每项 Office 365 服务时需要使用这一类别的终结点,并占用超过 75% 的 Office 365 带宽、连接和数据量。 这些终结点代表对网络性能、延迟和可用性最敏感的 Office 365 方案。 所在终结点都托管于 Microsoft 数据中心中。 此类别中的终结点的更改速率应小于其他两个类别中终结点的更改速率。 此类别包含一小组密钥 URL(按 ~10 排序)和已定义的 IP 子网集合,专用于核心 Office 365 工作负载,例如 Exchange Online、SharePoint Online、Skype for Business Online 和 Microsoft Teams。

    清晰定义的关键终结点的简明列表应有助于更快、更轻松地规划和实现这些目标的高价值网络优化。

    优化终结点的示例包括 https://outlook.office365.comhttps://< tenant.sharepoint.com>https://< tenant-my.sharepoint.com>

    优化方法包括:

    • 绕过 优化 网络设备和服务上的终结点,这些终结点执行流量拦截、TLS 解密、深度数据包检查和内容筛选。
    • 跳过通常用于普通 Internet 浏览的本地代理设备和基于云的代理服务。
    • 当这些终结点被网络基础结构和外围系统完全信任后,优先对其进行评估。
    • 设置广域网回程减少或消除的优先级,并让这些终结点基于 Internet 的直接分布式出口尽可能接近用户/分支的所在位置。
    • 通过实现拆分隧道,促进 VPN 用户直接连接到这些云终结点。
    • 确保 DNS 名称解析返回的 IP 地址与这些终结点的路由出口路径匹配。
    • 将 SD 广域网集成的这些终结点的优先级设置为直接的最小延迟路由到最近的 Microsoft 全球网络 Internet 对等连接点。
  • 允许终结点是连接到特定Office 365服务和功能的必需终结点,但对网络性能和延迟不如“优化”类别中的终结点敏感。 从带宽和连接数的角度而言,“允许”终结点的总体网络占用情况也更低。 这些终结点为 Office 365 专用并托管在 Microsoft 数据中心中。 它们代表一组广泛的Office 365微服务及其依赖项, (大约 100 个 URL) ,预计其更改速率将高于“优化”类别中的 URL。 此类别中并非所有终结点都与已定义的专用 IP 子网相关联。

    允许终结点的网络优化可以改善Office 365用户体验,但某些客户可能会选择更窄地限定这些优化范围,以尽量减少对其网络的更改。

    允许终结点的示例包括 https://*.protection.outlook.comhttps://accounts.accesscontrol.windows.net

    优化方法包括:

    • 绕过 允许 网络设备和服务上的终结点执行流量拦截、TLS 解密、深度数据包检查和内容筛选。
    • 当这些终结点被网络基础结构和外围系统完全信任后,优先对其进行评估。
    • 设置广域网回程减少或消除的优先级,并让这些终结点基于 Internet 的直接分布式出口尽可能接近用户/分支的所在位置。
    • 确保 DNS 名称解析返回的 IP 地址与这些终结点的路由出口路径匹配。
    • 将 SD 广域网集成的这些终结点的优先级设置为直接的最小延迟路由到最近的 Microsoft 全球网络 Internet 对等连接点。
  • 默认终结点表示不需要任何优化的Office 365服务和依赖项,客户网络可将这些服务和依赖项视为正常的 Internet 绑定流量。 此类别中的某些终结点可能未托管在 Microsoft 数据中心。 示例包括 https://odc.officeapps.live.comhttps://appexsin.stb.s-msn.com

有关 Office 365 网络优化技术的详细信息,请参阅文章管理 Office 365 终结点

将网络外围安全与终结点安全进行比较

传统的网络安全的目标是强化公司网络外围,防范入侵和恶意漏洞。 随着组织采用 Microsoft 365,部分网络服务和数据被部分或完全迁移到云。 正如对网络体系结构的进行任何基础更改,此过程需考虑到新兴因素,对网络安全进行重新评估:

  • 随着采用云服务,网络服务和数据分布在本地数据中心和云之间,而外围安全不再足以满足新的需求。
  • 远程用户连接到本地数据中心中的公司资源和云中来自不受控制的位置(如家中、酒店和咖啡店)。
  • 专门构建的安全功能越来越多地内置到了云服务中,并可以补充或替换现有安全系统。

Microsoft 提供了一系列 Microsoft 365 安全功能,并提供了采用安全性最佳做法的规范性指南,可帮助你确保 Microsoft 365 的数据和网络安全。 建议的最佳做法包括:

  • 使用多重身份验证 (MFA) MFA 要求用户在正确输入密码后确认其智能手机上的电话呼叫、短信或应用通知,从而为强密码策略增加了额外的保护层。

  • 使用 Microsoft Defender for Cloud Apps 配置策略以跟踪异常活动并做出应对。 使用Microsoft Defender for Cloud Apps设置警报,以便管理员可以查看异常或有风险的用户活动,例如下载大量数据、多次失败的登录尝试或来自未知或危险的 IP 地址的连接。

  • 配置数据丢失防护 (DLP) DLP 可用于识别敏感数据并创建有助于防止用户意外或有意共享数据的策略。 DLP 可跨 Microsoft 365 服务进行工作,包括 Exchange Online、SharePoint Online 和 OneDrive,以便你的用户在不中断工作流的情况下保持合规。

  • 使用客户密钥箱 作为 Microsoft 365 管理员,你可以使用客户密码箱来控制 Microsoft 技术支持工程师在帮助会话期间访问你数据的方式。 如果工程师需要访问您的数据以进行故障排除和解决问题,那么您可以使用客户锁箱批准或拒绝该访问请求。

  • 使用 Office 365 安全功能分数 一种安全分析工具,可为你推荐可执行的操作以进一步降低风险。 安全功能分数会查看你的 Microsoft 365 设置和活动,并将它们与 Microsoft 建立的基线进行比较。 根据你与最佳安全做法的一致性来获取分数。

要想全面提升安全性,则需要考虑以下方面:

  • 通过应用基于云的和 Office 客户端安全功能,从关注周边安全转向关注终结点安全。
    • 将安全外围缩小到数据中心
    • 为在办公室或远程位置的用户设备启用同等信任
    • 重点关注保护数据位置和用户位置
    • 托管的用户计算机比终结点安全拥有更高的信任级别
  • 全面管理所有信息安全,而不只是专注于外围
    • 通过允许受信任的流量绕过安全设备,并将非托管设备与来宾 Wi-Fi 网络分隔,来重新定义广域网并构建外围网络安全
    • 降低公司广域网边缘的网络安全要求
    • 仍需要某些网络外围安全设备(例如,防火墙),但负载降低了
    • 确保 Microsoft 365 流量的本地出口
  • 可按照增量优化章节中的说明逐步解决改进。 某些优化技术可能会根据网络体系结构提供更好的成本/效益比,并且应选择对组织最有意义的优化。

更多有关 Microsoft 365 安全性和合规性的信息,请参阅 Microsoft 365 安全Microsoft Purview 的文章。

增量优化

本文前面已介绍 SaaS 的理想网络连接模型,但对于许多具有历史复杂网络体系结构的大型组织来说,直接进行所有这些更改是不切实际的。 在本部分中,我们将讨论许多有助于提高 Microsoft 365 性能和可靠性的增量更改。

用于优化 Microsoft 365 流量的方法因网络拓扑和已实现的网络设备而异。 具有许多位置和复杂网络安全做法的大型企业需要制定一个策略,其中包括 Microsoft 365 连接原则 部分中列出的大部分或全部原则,而小型组织可能只需要考虑一两个原则。

可采用递增的方式进行优化,即依次应用每个方法。 下表列出了关键优化方法,这些方法对最大用户延迟和可靠性的影响顺序排列。

优化方法 说明 影响
本地 DNS 解析和 Internet 出口
预配每个位置中的本地 DNS 服务器,并确保 Microsoft 365 连接出口到 Internet 心可能靠近用户位置。
最小化延迟
提升与最近的 Microsoft 365 入口点的可靠连接
添加区域出口点
如果公司网络有多个位置,但仅有一个出口点,则添加区域出口点可让用户能够连接到最近的 Microsoft 365 入口点。
最小化延迟
提升与最近的 Microsoft 365 入口点的可靠连接
跳过代理和检查设备
将带 PAC 文件的浏览器配置为直接向出口点发送 Microsoft 365 请求。
配置边缘路由器和防火墙,无需检查即可允许 Microsoft 365 流量。
最小化延迟
减少网络设备负载
为 VPN 用户启用直接连接
对于 VPN 用户,可通过实现拆分隧道来启用 Microsoft 365 连接,直接从用户的网络进行连接,而不是通过 VPN 隧道。
最小化延迟
提升与最近的 Microsoft 365 入口点的可靠连接
从传统广域网迁移到 SD 广域网
SD 广域网(软件定义的广域网)通过将传统广域网路由器替换为虚拟设备(类似于使用虚拟机 (VM) 实现计算资源的虚拟化),简化广域网管理并提高性能。
改善广域网流量的性能和可管理性
减少网络设备负载

Microsoft 365 网络连接概述

管理 Office 365 终结点

Office 365 URL 和 IP 地址范围

Office 365 IP 地址和 URL Web 服务

评估 Microsoft 365 网络连接

Microsoft 365 网络计划和性能优化

使用基线和性能历史记录优化 Office 365 性能

Office 365 性能疑难解答计划

内容分发网络

Microsoft 365 连接测试

Microsoft 如何构建其快速可靠的全球网络

Office 365 网络工作博客