通过

步骤 2. 适用于企业租户的 Microsoft 365 的最佳网络

  • 项目

Microsoft 365 企业版包括云生产力应用(如 Teams 和 Exchange Online)和Microsoft Intune,以及 Microsoft Azure 的许多标识和安全服务。 所有这些基于云的服务都依赖于来自本地网络或 Internet 上任意位置的客户端设备连接的安全性、性能和可靠性。

若要优化租户的网络访问,需要:

  • 优化本地用户与离 Microsoft 全球网络最近的位置之间的路径。
  • 为使用远程访问 VPN 解决方案的远程用户优化对 Microsoft 全球网络的访问。
  • 使用 Network Insights 为办公室位置设计网络外围。
  • 使用 Office 365 CDN 优化对 SharePoint 网站上托管的特定资产的访问。
  • 配置代理和网络边缘设备,以绕过处理 Microsoft 365 受信任的流量和终结点列表,并在进行更改时自动更新列表。

企业本地辅助角色

对于企业网络,应通过在客户端和最近的 Microsoft 365 终结点之间启用性能最高的网络访问来优化最终用户体验。 最终用户体验的质量与用户使用的应用程序的性能和响应能力直接相关。 例如,Microsoft Teams 依赖于低延迟,以便用户电话呼叫、会议和共享屏幕协作无故障。

网络设计中的主要目标应该是通过减少从客户端设备 (到 Microsoft 全球网络的 RTT) 往返时间,Microsoft 全球网络是 Microsoft 的公共网络主干,将 Microsoft 的所有数据中心与低延迟、高可用性云应用程序入口点(称为前门)互连在一起,从而最大程度地减少延迟。

下面是传统企业网络的示例。

具有集中 Internet 访问权限的传统企业网络。

在此图中,分支机构通过广域网 (WAN) 设备和 WAN 主干连接到中央办公室。 Internet 访问是通过中央办公室网络边缘的安全或代理设备和 Internet 服务提供商 (ISP) 。 在 Internet 上,Microsoft 全球网络在全球各地区都有一系列前门。 组织还可以使用中间位置进行额外的数据包处理和流量安全性。 组织的 Microsoft 365 租户位于 Microsoft 全球网络内。

Microsoft 365 云服务的此配置问题包括:

  • 对于分支机构中的用户,流量会发送到非本地前门,从而增加延迟。
  • 将流量发送到中间位置会创建网络发夹,以对受信任的流量执行重复数据包处理,从而增加延迟。
  • 网络边缘设备对受信任的流量执行不必要的重复数据包处理,从而增加延迟。

优化 Microsoft 365 网络性能并不复杂。 可以遵循以下几个关键原则来获得最佳性能:

  • 确定 Microsoft 365 网络流量,该流量是发往 Microsoft 云服务的受信任流量。
  • 允许从用户连接到 Microsoft 365 的每个位置流向 Internet 的 Microsoft 365 网络流量的本地分支出口。
  • 避免使用网络发夹。
  • 允许 Microsoft 365 流量绕过代理和数据包检查设备。

如果实施这些原则,则会获得针对 Microsoft 365 优化的企业网络。

针对 Microsoft 365 优化的企业网络。

在此图中,分支机构通过软件定义的 WAN 设备 (SDWAN) 设备建立自己的 Internet 连接,该设备将受信任的 Microsoft 365 流量发送到区域最近的前门。 在中央办公室,受信任的 Microsoft 365 流量绕过了安全或代理设备,中间设备不再使用。

以下是优化配置如何解决传统企业网络的延迟问题:

  • 受信任的 Microsoft 365 流量会跳过 WAN 主干,并发送到所有办公室的本地前门,从而减少延迟。
  • 对于 Microsoft 365 受信任的流量,将跳过执行重复数据包处理的网络发夹,从而降低延迟。
  • 对于 Microsoft 365 受信任的流量,将跳过执行不需要和重复数据包处理的网络边缘设备,从而降低延迟。

有关详细信息,请参阅 Microsoft 365 网络连接概述

远程工作人员

如果远程工作者正在使用传统的 VPN 客户端来获取对组织网络的远程访问权限,请验证该 VPN 客户端是否支持拆分隧道。 如果没有拆分隧道,所有远程工作流量都会通过 VPN 连接发送,必须在其中将其转发到组织的边缘设备、进行处理,然后在 Internet 上发送。 以下是示例。

来自无隧道的 VPN 客户端的网络流量。

在此图中,Microsoft 365 流量必须通过你的组织采用间接路由,该路由可以转发到远离 VPN 客户端物理位置的 Microsoft 全球网络前门。 此间接路径会增加网络流量的延迟并降低整体性能。

借助拆分隧道,你可以将 VPN 客户端配置为排除通过 VPN 连接发送到组织网络的特定类型的通信。

要优化 Microsoft 365 云资源的访问权限,请将拆分隧道 VPN 客户端配置为排除通过 VPN 连接的流向优化类别 Microsoft 365 终结点的流量。 有关详细信息,请参阅Office 365终结点类别和优化拆分隧道的类别终结点列表

下面是拆分隧道的流量流,其中大多数发到 Microsoft 365 云应用的流量绕过 VPN 连接。

来自有隧道的 VPN 客户端的网络流量。

在此图中,VPN 客户端直接通过 Internet 发送和接收重要的 Microsoft 365 云服务流量,并发送到 Microsoft 全球网络最近的前门。

有关更多信息和指导,请参阅使用 VPN 拆分隧道为远程用户优化 Office 365 连接

使用 Network Insights (预览版)

网络见解是从 Microsoft 365 租户收集的性能指标,可帮助你为办公室位置设计网络外围。 每个见解提供有关本地用户访问租户的每个地理位置的指定问题的性能特征的实时详细信息。

可能会为租户显示两个租户级网络见解:

以下是每个办公室位置的特定网络见解:

重要

Microsoft 365 管理中心中的网络见解、性能建议和评估目前处于预览状态。 它仅适用于已在功能预览计划中注册的 Microsoft 365 租户。

有关详细信息,请参阅 Microsoft 365 网络见解

使用 Office 365 CDN 的 SharePoint 性能

基于云的内容分发网络 (CDN) 可减少加载时间、节省带宽并加快响应速度。 CDN 通过缓存静态资产(如图形或视频文件)更靠近请求它们的浏览器来提高性能,这有助于加快下载速度并减少延迟。 您可以使用内置Office 365内容分发网络 (CDN) (Microsoft 365 E3 和 E5 中的 SharePoint 中随附)来托管静态资产,以便为 SharePoint 页面提供更好的性能。

Office 365 CDN 由多个 CDN 组成,用户可以在多个位置(即)托管静态资产,并从全局高速网络提供这些资产。 根据要在 Office 365 CDN 中托管的内容类型,可以添加公共源和/或专用源。

部署和配置后,Office 365 CDN 会从公共和专用源上传资产,并使其可供位于 Internet 上的用户快速访问。

Office 365为用户部署的 CDN。

有关详细信息,请参阅将 Office 365 CDN 与 SharePoint Online 配合使用

自动终结点列表

若要让本地客户端、边缘设备和基于云的数据包分析服务跳过对受信任的 Microsoft 365 流量的处理,必须使用与 Microsoft 365 服务相对应的终结点集 (IP 地址范围和 DNS 名称) 配置它们。 可以在防火墙和其他边缘安全设备、客户端计算机绕过代理的 PAC 文件或分支机构的 SD-WAN 设备中手动配置这些终结点。 但是,终结点会随时间推移而变化,需要持续手动维护这些位置中的终结点列表。

若要在客户端 PAC 文件和网络设备中自动执行 Microsoft 365 终结点的列表和更改管理,请使用基于OFFICE 365 IP 地址和 URL REST 的 Web 服务。 此服务可帮助你更好地识别和区分 Microsoft 365 网络流量,让你更轻松地评估、配置和及时了解最新更改。

可以使用 PowerShell、Python 或其他语言来确定一段时间内终结点的更改,并配置 PAC 文件和边缘网络设备。

基本过程是:

  1. 使用Office 365 IP 地址和 URL Web 服务以及你选择的配置机制,使用当前 Microsoft 365 终结点集配置 PAC 文件和网络设备。
  2. 对终结点中的更改运行每日定期检查或使用通知方法。
  3. 检测到更改后,重新生成并重新分发客户端计算机的 PAC 文件,然后对网络设备进行更改。

有关详细信息,请参阅 Office 365 IP 地址和 URL Web 服务

步骤 2 的结果

对于具有最佳网络的 Microsoft 365 租户,你已确定:

  • 如何通过向所有分支机构添加 Internet 连接并消除网络发夹来优化本地用户的网络性能。
  • 如何为基于客户端的 PAC 文件和网络设备和服务实现自动受信任的终结点列表,包括 (最适合企业网络) 的持续更新。
  • 如何支持远程工作者访问本地资源。
  • 如何使用网络见解
  • 如何部署 Office 365 CDN。

下面是具有最佳网络的企业组织及其租户的示例。

具有最佳网络的租户示例。

在此图中,此企业组织的租户具有:

  • 使用 SDWAN 设备将受信任的 Microsoft 365 流量转发到本地前门的每个分支机构的本地 Internet 访问。
  • 无网络发夹。
  • 将 Microsoft 365 受信任的流量转发到本地前门的中央办公室安全和代理边缘设备。

持续维护以实现最佳网络

在持续的基础上,你可能需要:

  • 更新边缘设备和部署的 PAC 文件以更改终结点,或验证自动化过程是否正常工作。
  • 在 Office 365 CDN 中管理资产。
  • 更新 VPN 客户端中的拆分隧道配置,以更改终结点。

后续步骤

步骤 3.同步标识并强制实施安全登录。

继续使用 标识 来同步本地帐户和组,并强制实施安全的用户登录。