步骤 2. 适用于企业租户的 Microsoft 365 的最佳网络
Microsoft 365 企业版包括云生产力应用(如 Teams 和 Exchange Online)和 Microsoft Intune,以及 Azure Microsoft的许多标识和安全服务。 所有这些基于云的服务都依赖于来自本地网络或 Internet 上任意位置的客户端设备连接的安全性、性能和可靠性。
若要优化租户的网络访问,需要:
- 优化本地用户与离 Microsoft 全局网络最近的位置之间的路径。
- 为使用远程访问 VPN 解决方案的远程用户优化对 Microsoft 全局网络的访问。
- 使用 Network Insights 为办公室位置设计网络外围。
- 使用 Office 365 CDN 优化对 SharePoint 网站上托管的特定资产的访问。
- 使用终结点列表配置代理和网络边缘设备,以绕过对Microsoft 365 个受信任流量的处理,并在进行更改时自动更新列表。
企业本地辅助角色
对于企业网络,应通过在客户端和最近的 Microsoft 365 个终结点之间启用性能最高的网络访问来优化最终用户体验。 最终用户体验的质量与用户使用的应用程序的性能和响应能力直接相关。 例如,Microsoft Teams 依赖于低延迟,以便用户电话呼叫、会议和共享屏幕协作无故障。
网络设计的主要目标应该是通过缩短从客户端设备到 Microsoft Global Network (RTT) 的往返时间来最大程度地减少延迟,Microsoft的公共网络主干网,将Microsoft的所有数据中心与低延迟、高可用性云应用程序入口点(称为“前门”)互连在一起。
下面是传统企业网络的示例。
在此图中,分支机构通过广域网 (WAN) 设备和 WAN 主干连接到中央办公室。 Internet 访问是通过中央办公室网络边缘的安全或代理设备和 Internet 服务提供商 (ISP) 。 在互联网上,Microsoft全球网络在世界各地都有一系列前门。 组织还可以使用中间位置进行额外的数据包处理和流量安全性。 组织的Microsoft 365 租户位于 Microsoft 全局网络中。
Microsoft 365 云服务的此配置存在以下问题:
- 对于分支机构中的用户,流量会发送到非本地前门,从而增加延迟。
- 将流量发送到中间位置会创建网络发夹,以对受信任的流量执行重复数据包处理,从而增加延迟。
- 网络边缘设备对受信任的流量执行不必要的重复数据包处理,从而增加延迟。
优化 Microsoft 365 网络性能并不复杂。 可以遵循以下几个关键原则来获得最佳性能:
- 确定Microsoft 365 网络流量,该流量是发往Microsoft云服务的受信任流量。
- 允许从用户连接到 Microsoft 365 的每个位置向 Internet Microsoft 365 网络流量的本地分支出口。
- 避免使用网络发夹。
- 允许Microsoft 365 流量绕过代理和数据包检查设备。
如果实现这些原则,则会获得针对 Microsoft 365 优化的企业网络。
在此图中,分支机构通过软件定义的 WAN 设备 (SDWAN) 设备建立自己的 Internet 连接,该设备将受信任的Microsoft 365 流量发送到区域最近的前门。 在中央办公室,受信任的Microsoft 365 流量绕过安全或代理设备,中间设备不再使用。
以下是优化配置如何解决传统企业网络的延迟问题:
- 受信任的Microsoft 365 流量会跳过 WAN 主干,并发送到所有办公室的本地前门,从而减少延迟。
- 对于 Microsoft 365 个受信任的流量,将跳过执行重复数据包处理的网络发夹,从而减少延迟。
- 对于 Microsoft 365 个受信任的流量,将跳过执行不需要和重复数据包处理的网络边缘设备,从而降低延迟。
有关详细信息,请参阅 Microsoft 365 网络连接概述。
远程工作人员
如果远程工作者正在使用传统的 VPN 客户端来获取对组织网络的远程访问权限,请验证该 VPN 客户端是否支持拆分隧道。 如果没有拆分隧道,所有远程工作流量都会通过 VPN 连接发送,必须在其中将其转发到组织的边缘设备、进行处理,然后在 Internet 上发送。 以下是示例。
在此图中,Microsoft 365 流量必须通过组织间接路由,该路由可以转发到远离 VPN 客户端物理位置的Microsoft全局网络前门。 此间接路径会增加网络流量的延迟并降低整体性能。
借助拆分隧道,你可以将 VPN 客户端配置为排除通过 VPN 连接发送到组织网络的特定类型的通信。
要优化 Microsoft 365 云资源的访问权限,请将拆分隧道 VPN 客户端配置为排除通过 VPN 连接的流向优化类别 Microsoft 365 终结点的流量。 有关详细信息,请参阅 Office 365 终结点类别 和优化拆分隧道的类别终结点 列表 。
下面是拆分隧道产生的流量流,其中发Microsoft 365 云应用的大部分流量绕过 VPN 连接。
在此图中,VPN 客户端直接通过 Internet 发送和接收关键Microsoft 365 云服务流量,并发送到Microsoft全球网络最近的前门。
有关更多信息和指导,请参阅使用 VPN 拆分隧道为远程用户优化 Office 365 连接。
使用网络见解
网络见解是从 Microsoft 365 租户收集的性能指标,可帮助你为办公室位置设计网络外围。 每个见解提供有关本地用户访问租户的每个地理位置的指定问题的性能特征的实时详细信息。
可能会为租户显示两个租户级网络见解:
以下是每个办公室位置的特定网络见解:
- 回程网络出口
- 为你附近的客户检测到更好的性能
- 使用非最佳 Exchange Online 服务前门
- 使用非最佳 SharePoint Online 服务前端
- 从 SharePoint front door 下载速度较低
- 中国用户最佳网络出口
有关详细信息,请参阅 Microsoft 365 Network Insights。
使用 Office 365 CDN 的 SharePoint 性能
基于云的内容分发网络 (CDN) 可减少加载时间、节省带宽并加快响应速度。 CDN 通过缓存静态资产(如图形或视频文件)更靠近请求它们的浏览器来提高性能,这有助于加快下载速度并减少延迟。 可以使用内置 Office 365 内容分发网络 (CDN) (Microsoft 365 E3 和 E5 中的 SharePoint 随附)托管静态资产,以便为 SharePoint 页面提供更好的性能。
Office 365 CDN 由多个 CDN 组成,用户可以在多个位置(即源)托管静态资产,并从全局高速网络提供这些资产。 根据要在 Office 365 CDN 中托管的内容类型,可以添加 公共 源和/或 专用 源。
部署和配置后,Office 365 CDN 会上传来自公共和专用源的资产,并使它们可供位于 Internet 上的用户快速访问。
有关详细信息,请参阅 将 Office 365 CDN 与 SharePoint Online 配合使用。
自动终结点列表
若要让本地客户端、边缘设备和基于云的数据包分析服务跳过对受信任的Microsoft 365 流量的处理,必须使用与 Microsoft 365 服务相对应的终结点集 (IP 地址范围和 DNS 名称) 对其进行配置。 可以在防火墙和其他边缘安全设备、客户端计算机绕过代理的 PAC 文件或分支机构的 SD-WAN 设备中手动配置这些终结点。 但是,终结点会随时间推移而变化,需要持续手动维护这些位置中的终结点列表。
若要在客户端 PAC 文件和网络设备中自动执行 Microsoft 365 终结点的列表和更改管理,请使用 基于 Office 365 IP 地址和 URL REST 的 Web 服务。 此服务可帮助你更好地识别和区分 Microsoft 365 网络流量,使你能够更轻松地评估、配置和保持最新更改的最新状态。
可以使用 PowerShell、Python 或其他语言来确定一段时间内终结点的更改,并配置 PAC 文件和边缘网络设备。
基本过程是:
- 使用 Office 365 IP 地址和 URL Web 服务以及你选择的配置机制,使用当前Microsoft 365 终结点集配置 PAC 文件和网络设备。
- 运行每日定期检查终结点中的更改或使用通知方法。
- 检测到更改后,重新生成并重新分发客户端计算机的 PAC 文件,然后对网络设备进行更改。
有关详细信息,请参阅 Office 365 IP 地址和 URL Web 服务。
步骤 2 的结果
对于具有最佳网络的 Microsoft 365 租户,你已确定:
- 如何通过向所有分支机构添加 Internet 连接并消除网络发夹来优化本地用户的网络性能。
- 如何为基于客户端的 PAC 文件和网络设备和服务实现自动受信任的终结点列表,包括 (最适合企业网络) 的持续更新。
- 如何支持远程工作者访问本地资源。
- 如何使用网络见解
- 如何部署 Office 365 CDN。
下面是具有最佳网络的企业组织及其租户的示例。
在此图中,此企业组织的租户具有:
- 使用 SDWAN 设备将受信任的Microsoft 365 流量转发到本地前门的每个分支机构的本地 Internet 访问。
- 无网络发夹。
- 将 Microsoft 365 受信任的流量转发到本地前门的中央办公室安全和代理边缘设备。
持续维护以实现最佳网络
在持续的基础上,你可能需要:
- 更新边缘设备和部署的 PAC 文件以更改终结点,或验证自动化过程是否正常工作。
- 在 Office 365 CDN 中管理资产。
- 更新 VPN 客户端中的拆分隧道配置,以更改终结点。
后续步骤
继续使用 标识 来同步本地帐户和组,并强制实施安全的用户登录。