Microsoft 365 的常见 VPN 拆分隧道方案
注意
本文属于解决远程用户 Microsoft 365 优化问题的系列文章。
- 有关使用 VPN 拆分隧道为远程用户优化 Microsoft 365 连接的概述,请参阅概述:Microsoft 365 的 VPN 拆分隧道。
- 有关实现 VPN 拆分隧道的详细指南,请参阅为 Microsoft 365 实现 VPN 拆分隧道。
- 有关在 VPN 拆分隧道环境中保护 Teams 媒体流量的指南,请参阅为 VPN 拆分隧道保护 Teams 媒体流量。
- 有关如何在 VPN 环境中配置 Stream 和实时事件的信息,请参阅 VPN 环境中的 Stream 和实时事件的特定注意事项。
- 有关优化中国用户的 Microsoft 365 全球租户性能的信息,请参阅 适用于中国用户的 Microsoft 365 性能优化。
在下面的列表中,你将看到企业环境中最常见的 VPN 方案。 大多数客户通常运行模型 1(VPN 强制隧道)。 本部分将帮助你快速安全地过渡到 模型 2,这是可以实现的,但工作量相对较少,并且对网络性能和用户体验有巨大的好处。
| 模型 | 说明 |
|---|---|
| 1. VPN 强制隧道 | 100% 的流量进入 VPN 隧道,包括本地、Internet 和所有 O365/M365 |
| 2. VPN 强制隧道(有几个例外) | 默认情况下使用 VPN 隧道(默认路由指向 VPN),有几个最重要的豁免场景允许直接访问 |
| 3. VPN 强制隧道(有多个例外) | 默认情况下,VPN 隧道使用 (到 VPN) 的默认路由点,但允许直接 (的广泛异常,例如所有 Microsoft 365、All Salesforce、All Zoom) |
| 4. VPN 选择性隧道 | VPN 隧道仅用于基于 corpnet 的服务。 默认路由 (Internet 和所有基于 Internet 的服务) 直接。 |
| 5. 无 VPN | #2 的变体。 所有 corpnet 服务都通过新式安全方法(例如 Zscaler ZPA、Azure Active Directory (Azure AD) Proxy/MCAS)等 (发布,而不是旧版 VPN。) |
1. VPN 强制隧道
大多数企业客户最常用的起始方案。 使用强制 VPN,这意味着无论终结点是否驻留在公司网络中,100% 的流量都定向到公司网络。 然后,任何外部 (Internet) 受限流量(如 Microsoft 365 或 Internet 浏览)都从本地安全设备(如代理)中重新固定。 在目前近 100% 的用户远程工作的气氛中,此模型因此给 VPN 基础结构带来了高负载,并可能显著阻碍所有企业流量的性能,从而使企业在危机时刻高效运行。
2. VPN 强制隧道(有几个受信任的异常)
对于企业来说,要在以下情况下运行的效率要高得多。 此模型允许一些负载高且延迟敏感的受控和定义终结点绕过 VPN 隧道并直接转到 Microsoft 365 服务。 这显著提高了卸载服务的性能,也减少了 VPN 基础结构上的负载,从而允许仍需要其运行且资源争用较低的元素。 本文将此模型重点介绍如何帮助转换,因为它允许快速执行简单、已定义的操作,并取得许多积极成果。
3. VPN 强制隧道(有多个例外)
扩大模型 2 的范围。 它不仅仅直接发送一组定义的终结点,而是将所有流量直接发送到受信任的服务,如 Microsoft 365 和 SalesForce。 这可进一步减少公司 VPN 基础结构的负载,并提高已定义服务的性能。 由于此模型可能需要更多时间来评估和实现的可行性,因此,一旦模型二成功实施,可能会在以后的日期以迭代方式执行此步骤。
4. VPN 选择性隧道
反转第三个模型,因为只有标识为具有公司 IP 地址的流量才会发送到 VPN 隧道,因此 Internet 路径是其他一切的默认路由。 此模型要求组织能够很好地适应零信任路径,以便能够安全地实现此模型。 需要注意的是,随着越来越多的服务从公司网络转移到云中,此模型或其中的一些变体可能会随着时间的推移成为必要的默认值。
Microsoft 在内部使用此模型。 可以在 VPN 上运行时找到有关 Microsoft 实现 VPN 拆分隧道的详细信息 :Microsoft 如何保持远程员工的连接。
5. 无 VPN
模型 2 的更高级版本,通过新式安全方法或 SDWAN 解决方案(例如 Azure AD 代理、Defender for Cloud Apps、Zscaler ZPA 等)发布任何内部服务。
相关文章
安全专业人员和 IT 人员在当前独特的远程工作场景中实现新式安全控制的替代方法(Microsoft 安全团队博客)