Microsoft 365 網路連線原則
本文適用於 Microsoft 365 企業版和 Office 365 企業版。
開始規劃 Microsoft 365 網路連線的網路之前,請務必先瞭解安全管理 Microsoft 365 流量並取得最佳效能的連線原則。 本文可協助您瞭解安全優化 Microsoft 365 網路連線的最新指引。
傳統企業網路的主要設計目的,是為使用者提供應用程式和資料 (裝載於公司運作的資料中心) 的存取權,同時具有強式周邊網路安全性。 傳統模型假設使用者是從公司網路周邊網路內部存取應用程式和資料,透過分公司的 WAN 連結,或是透過 VPN 連線遠端存取。
採用像是 Microsoft 365 的 SaaS 應用程式,會將某些服務和資料組合移到網路周邊之外。 若沒有最佳化,使用者與 SaaS 應用程式之間的流量會受限於封包檢查、網路 hairpin、與遠距端點的不當連線和其他因素所引入的延遲。 您可以藉由了解和實作關鍵最佳化指引,確保最佳的 Microsoft 365 效能和可靠性。
在本文中,您將瞭解:
- 套用至客戶雲端連線時的 Microsoft 365 架構
- 更新的 Microsoft 365 連線原則,以及最佳化網路流量和終端使用者體驗的策略
- Office 365 端點 Web 服務,允許網路系統管理員在網路最佳化中使用端點的結構化清單
- 將 Microsoft 365 服務的連線優化指引
- 比較網路周邊網路安全性與端點安全性
- 針對 Microsoft 365 流量的增量最佳化選項
- Microsoft 365 連線測試,是一種用來測試 Microsoft 365 基本連線能力的新工具
Microsoft 365 架構
Microsoft 365 是分散式軟體即服務 (SaaS) 雲端,可透過一組不同的微服務和應用程式來提供生產力和共同作業案例。 範例包括 Exchange Online、SharePoint Online、Microsoft Teams、Exchange Online Protection、瀏覽器中的 Office 等等。 雖然特定的 Microsoft 365 應用程式在套用至客戶網路和雲端連線時,可能會有其獨特的功能,但它們全都共用一些重要的主體、目標和架構模式。 線上的這些原則和架構模式通常適用於許多其他 SaaS 雲端。 同時,它們與平臺即服務和基礎結構即服務雲端的一般部署模型不同,例如 Microsoft Azure。
Microsoft 365 (最顯著的架構功能之一,通常會被網路架構設計師遺漏或錯誤解譯) ,就是在使用者如何連線到它的內容中,它是真正的全域分散式服務。 目標 Microsoft 365 租使用者的位置對於瞭解客戶數據儲存在雲端中的位置非常重要。 不過,使用 Microsoft 365 的用戶體驗並不涉及直接連線到包含數據的磁碟。 使用者的 Microsoft 365 體驗 (包括效能、可靠性和其他重要的品質特性) 牽涉到透過高度分散前門服務 (在全球數百個 Microsoft 位置之間相應放大) 的連線。 在大部分情況下,最佳的用戶體驗是允許客戶網路將使用者要求路由傳送至最接近的 Microsoft 365 服務進入點。 這是偏好的,而不是透過中央位置或區域中的輸出點連線到 Microsoft 365。
對於大多數客戶而言,Microsoft 365 使用者分散在許多位置之間。 若要達到最佳結果,應該從向外延展 (而非相應增加) 觀點來查看本檔中所述的原則。 同時著重於將連線優化至 Microsoft 全球網路中最近的存在點,而不是 Microsoft 365 租使用者的地理位置。 基本上,這表示即使 Microsoft 365 租用戶數據可能儲存在特定地理位置,該租使用者的 Microsoft 365 體驗仍會保持分散。 它可以出現在非常接近的 (網路) 接近租用戶擁有的每個使用者位置。
Microsoft 365 連線原則
Microsoft 建議下列原則,以達到最佳的 Microsoft 365 連線和效能。 使用這些 Microsoft 365 連線原則,在連線到 Microsoft 365 時,管理您的流量並取得最佳效能。
網路設計的主要目標應該是透過降低從您的網路到 Microsoft 全域網路、Microsoft 公用網路骨幹 (將所有低延遲 Microsoft 資料中心與遍佈全球的雲端應用程式進入點互連) 的來回行程時間 (RTT),將延遲降至最低。 您可以在 Microsoft 如何建置其快速且可靠的全域網路 中,深入了解 Microsoft 全域網路。
識別並區分 Microsoft 365 流量
識別 Microsoft 365 網路流量是能夠區分來自一般網際網路綁定網路流量的第一步。 Microsoft 365 連線能力可藉由實作網路路由優化、防火牆規則、瀏覽器 Proxy 設定等方法的組合來優化。 此外,略過特定端點的網路檢查裝置也很實用。
如需 Microsoft 365 優化方法的詳細資訊,請參閱 優化與 Microsoft 365 服務的連線 一節。
Microsoft 現在會將所有 Microsoft 365 端點發佈為網頁服務,並且提供如何最佳地使用此資料的指引。 如需如何取得及使用 Microsoft 365 端點的詳細資訊,請參閱 Office 365 URL 和 IP 位址範圍一文。
在當地輸出網路連線
本機 DNS 和網際網路出口對於降低連線延遲,及確保使用者連線連至與 Microsoft 365 服務最接近的進入點,相當重要。 在複雜的網路拓撲中,請務必同時實作本機 DNS 和本機因特網輸出。 如需 Microsoft 365 如何將用戶端連線路由傳送到最接近進入點的詳細資訊,請參閱用戶端連線能力 一文。
在諸如 Microsoft 365 的雲端服務問世之前,終端使用者網際網路連線能力作為網路架構中的設計因素而言,相對簡單。 當網際網路服務和網站散佈在全球各地時,公司出口點與任何指定目的地端點之間的延遲,成為地理距離很大的函數。
在傳統的網路架構中,所有輸出網際網路連線會周遊公司網路,然後從中央位置出口。 隨著 Microsoft 的雲端供應項目成熟,分散式網際網路對應網路架構對於支援延遲敏感雲端服務變得關鍵。 Microsoft 全域網路的設計目的是透過分散式服務 Front Door 基礎結構 (這是一個動態全域進入點網狀架構,將輸入雲端服務連線路由傳送到最接近的進入點) 來容納延遲需求。 目的在於藉由縮短客戶與雲端之間的路由,為 Microsoft 雲端客戶減少「最後一步」的長度。
企業 WAN 通常設計為將網路流量回傳到中央總公司,在出口到網際網路之前進行檢查,通常是透過一或多個 Proxy 伺服器。 下圖說明這類網路拓撲。
因為 Microsoft 365 會在包含全球前端伺服器的 Microsoft 全球網路上執行,所以通常會有接近使用者位置的前端伺服器。 藉由提供本機網際網路出口,以及設定內部 DNS 伺服器以提供 Microsoft 365 端點的本機名稱解析,目的地為 Microsoft 365 的網路流量可以連線到盡可能接近使用者的 Microsoft 365 前端伺服器。 下圖顯示網路拓撲的範例,可讓從總公司、分公司和遠端位置連線的使用者遵循最短的路由,前往最接近的 Microsoft 365 進入點。
以這種方式縮短 Microsoft 365 進入點的網路路徑,可改善 Microsoft 365 中的連線效能和用戶體驗。 它也有助於降低未來網路架構變更對 Microsoft 365 效能和可靠性的影響。
此外,如果回應 DNS 伺服器是遠距或忙碌中,則 DNS 要求會導致延遲。 您可以在分支位置布建本機 DNS 伺服器,並確定它們已設定為適當地快取 DNS 記錄,以將名稱解析延遲降至最低。
雖然區域輸出可對 Microsoft 365 運作良好,但最佳的連線模型是一律在使用者的位置提供網路輸出,無論其位於公司網路或遠端位置,例如住家、旅館、咖啡廳和機場。 此本機直接輸出模型會在下圖中表示。
已採用 Microsoft 365 的企業可以透過確定使用者與 Microsoft 365 的連線是採取與最接近 Microsoft 全域網路進入點的可能最短路由,利用 Microsoft 全域網路的分散式前門服務架構。 本機出口網路架構是藉由允許 Microsoft 365 流量透過最接近的出口 (無論使用者位置在哪裡) 進行路由傳送,來達到這個目的。
本機出口架構相較於傳統模型,具有以下優點:
- 藉由最佳化路由長度,提供最佳的 Microsoft 365 效能。 終端使用者連線是由分散式前門服務基礎結構,動態地路由傳送到最接近的 Microsoft 365 進入點。
- 藉由允許本機出口,降低公司網路基礎結構的負載。
- 使用用戶端端點安全性和雲端安全性功能來保護兩端的連線。
避免網路 hairpin
一般經驗法則是,使用者與最接近的 Microsoft 365 端點之間最短、最直接的路由可提供最佳效能。 當前往特定目的地的 WAN 或 VPN 流量第一次導向到另一個中級位置 (例如安全性堆疊、雲端存取代理程式,或雲端型 Web 閘道) 時,會發生網路 hairpin,導致延遲並且可能重新導向至遠距端點。 路由/對等互連效率不佳或 (遠端) DNS 查閱的次佳性,也會造成網路固定。
若要確保即使在本機輸出案例中,Microsoft 365 連線也不會受限於網路髮夾,請檢查用來為使用者位置提供因特網輸出的 ISP 是否與接近該位置的 Microsoft 全域網路有直接對等互連關係。 您可能也想要設定輸出路由,以直接傳送受信任的 Microsoft 365 流量。 這與透過處理因特網系結流量的第三方雲端或雲端式網路安全性廠商進行 Proxy 或通道處理相反。 Microsoft 365 端點的本機 DNS 名稱解析會協助確定除了直接路由之外,也為使用者連線使用最接近的 Microsoft 365 進入點。
如果您針對 Microsoft 365 流量使用雲端式網路或安全性服務,請確定已評估 Hairpin 的結果,並瞭解其對 Microsoft 365 效能的影響。 這可以藉由檢查服務提供者位置的數目和位置,這些位置的流量會轉送至分公司和 Microsoft 全球網路對等互連點的數目、服務提供者與 ISP 和 Microsoft 的網路對等互連關聯性品質,以及服務提供者基礎結構中反向運作的效能影響。
由於具有 Microsoft 365 進入點的大量分散式位置及其與使用者的鄰近性,因此,如果提供者網路未設定為最佳的 Microsoft 365 對等互連,將 Microsoft 365 流量路由傳送至任何第三方網路或安全性提供者可能會對 Microsoft 365 連線造成不良影響。
評估略過 Proxy、流量檢查裝置和重複安全性技術
企業客戶應該特別針對 Microsoft 365 繫結流量檢閱他們的網路安全性和降低風險方法,並且使用 Microsoft 365 安全性功能來降低對於 Microsoft 365 網路流量干擾、效能影響及昂貴網路安全性技術的依賴。
大部分的企業網路都會使用 Proxy、TLS 檢查、封包檢查和數據外洩防護系統等技術來強制執行因特網流量的網路安全性。 這些技術為一般網際網路要求提供重要的風險降低,但是當套用至 Microsoft 365 端點時,可能會大幅降低效能、延展性和使用者體驗的品質。
Office 365 端點 Web 服務
Microsoft 365 系統管理員可以使用指令碼或 REST 呼叫,使用來自 Office 365 端點 Web 服務的結構化清單,並且更新周邊防火牆和其他網路裝置的組態。 這可確保針對 Microsoft 365 的流量進行識別、適當處理及管理,與系結至一般且通常未知因特網網站的網路流量不同。 如需如何使用 Office 365 端點 Web 服務的詳細資訊,請參閱 Office 365 URL 和 IP 位址範圍一文。
PAC (Proxy 自動設定) 指令碼
Microsoft 365 系統管理員可以建立 PAC (Proxy 自動設定) 指令碼,透過 WPAD 或 GPO 傳遞給使用者電腦。 PAC 指令碼可以用來針對來自 WAN 或 VPN 使用者的 Microsoft 365 要求略過 Proxy,讓 Microsoft 365 流量使用直接網際網路連線,而不是周遊公司網路。
Microsoft 365 安全性功能
Microsoft 對於 Microsoft 365 伺服器和它們所呈現網路端點相關的資料中心安全性、運作安全性和風險降低是透明的。 Microsoft 365 內建安全性功能可用來降低網路安全性風險,例如 Microsoft Purview 資料外洩防護、防病毒軟體、多重要素驗證、客戶加密箱、適用於 Office 365 的 Defender、Microsoft 365 威脅情報、Microsoft 365 安全分數、Exchange Online Protection和網路 DDOS 安全性。
如需 Microsoft 資料中心和全域網路安全性的詳細資訊,請參閱 Microsoft 信任中心。
優化與 Microsoft 365 服務的連線
Microsoft 365 服務是動態、相互依存且深度整合的產品、應用程式和服務的集合。 設定及優化與 Microsoft 365 服務的連線時,無法連結特定端點 (網域) 幾個 Microsoft 365 案例,以在網路層級實作允許清單。 Microsoft 不支援選擇性允許清單,因為它會為使用者造成連線和服務事件。 因此,網路管理員應一律將 Microsoft 365 網路允許清單和一般網路優化指導方針套用至一組完整的必要網路端點, (定期 發佈 和更新的網域) 。 雖然我們正在簡化 Microsoft 365 網路端點以回應客戶的意見反應,但網路管理員現在應該注意現有一組端點中的下列核心模式:
- 可能的話,已發佈的網域端點將包含通配符,以大幅降低客戶的網路設定工作量。
- Microsoft 365 (cloud.microsoft) 宣佈網域合併計劃,為客戶提供一種方式來簡化其網路設定,並自動將此網域的網路優化累積到許多目前和未來的 Microsoft 365 服務。
- 專屬使用cloud.microsoft根域來進行安全性隔離和特定功能。 這可讓客戶網路和安全性小組信任 Microsoft 365 網域,同時改善與這些端點的連線能力,並避免不必要的網路安全性處理。
- 某些端點定義會指定對應至其網域的唯一IP前置詞。 這項功能支援具有複雜網路結構的客戶,讓他們能夠利用IP前置詞詳細數據來套用精確的網路優化。
針對所有 「必要」 Microsoft 365 網路端點, (網域) 和類別,建議使用下列網路組態:
- 明確允許用戶連線 (網路裝置和服務中的 Microsoft 365 網路端點,例如 Proxy、防火牆、DNS、雲端式網路安全性解決方案等網路周邊安全性裝置 )
- 從 TLS 解密、流量攔截、深度封包檢查,以及網路封包和內容篩選中略過 Microsoft 365 網域。 請注意,客戶在不受信任/非受控應用程式的內容中使用這些網路技術的許多成果,都可以由 Microsoft 365 安全性功能以原生方式達成。
- 應針對 Microsoft 365 網域設定直接因特網存取的優先順序,方法是減少對廣域網 (WAN 的依賴) 反向哈希、避免網路固定,以及讓使用者和 Microsoft 網路的本機因特網輸出更有效率。
- 請確定 DNS 名稱解析會在網路輸出附近發生,以確保連線是透過最佳的 Microsoft 365 前門提供。
- 沿著網路路徑排定 Microsoft 365 連線的優先順序,確保 Microsoft 365 體驗的容量和服務品質。
- 略過流量媒介裝置,例如 Proxy 和 VPN 服務。
具有複雜網路拓撲、實作自定義路由、IP 型 Proxy 略過和分割通道 VPN 等網路優化的客戶,除了網域以外,也可能需要 IP 前置詞資訊。 為了協助這些客戶案例,Microsoft 365 網路端點會分組為類別,以優先順序並簡化這些額外網路優化的設定。 分類為「優化」和「允許」類別的網路端點具有高流量,而且會對網路等待時間和效能有所敏感,而且客戶可能想要先優化與這些端點的連線能力。 「優化」和「允許」類別下的網路端點會列出IP位址和網域。 分類為 「預設」 類別的網路端點沒有與其相關聯的IP位址,因為它們在本質上較為動態,且IP位址會隨著時間變更。
其他網路考量
優化與 Microsoft 365 的連線時,某些網路設定可能會對 Microsoft 365 可用性、互操作性、效能和用戶體驗造成負面影響。 Microsoft 尚未使用我們的服務測試下列網路案例,而且已知會造成連線問題。
- 使用客戶 Proxy 或其他類型的網路裝置或服務,對任何 M365 網域進行 TLS 終止或深層封包檢查。
- 透過中繼網路基礎結構或服務封鎖特定通訊協定或通訊協定版本,例如 QUIC、WebSocket 等。
- 在用戶端應用程式與 Microsoft 365> 服務之間使用的通訊協定 (例如 TCP、TLS1.3 --> TLS1.2 --> TLS1.1) 強制降級或故障轉移。
- 透過套用自己的驗證的網路基礎結構路由傳送連線,例如 Proxy 驗證。
建議客戶避免使用這些網路技術來傳輸目的地為 Microsoft 365 網域的流量,並針對 Microsoft 365 連線略過這些網路技術。
Microsoft 建議設定自動化系統,以定期下載並套用 M365 網路端點清單。 如需詳細資訊,請參閱 Microsoft 365 IP 位址和 URL 的變更管理。
比較網路周邊網路安全性與端點安全性
傳統網路安全性的目標是強化公司網路周邊網路,免於入侵和惡意攻擊。 隨著組織採用 Microsoft 365,某些網路服務和資料會部分或全部遷移至雲端。 針對網路架構的任何基礎變更,這個程序需要重新評估網路安全性,將新的因素列入考量:
- 採用雲端服務之後,網路服務和資料會在內部部署資料中心與雲端之間散佈,周邊安全性本身已不足夠。
- 遠端使用者從不受控制的位置 (如住家、旅館和咖啡廳) 連線到位於內部部署資料中心和雲端中的公司資源。
- 有目的建置的安全性功能大量內建到雲端服務,也許可以補充或取代現有的安全性系統。
Microsoft 提供大範圍的 Microsoft 365 安全性功能,並且提供採用安全性最佳做法的規範指引,可協助您確保 Microsoft 365 的資料和網路安全性。 建議的最佳做法包括:
使用多重要素驗證 (MFA) MFA 藉由要求使用者在正確輸入其密碼之後,在智慧型手機上認可通話、簡訊或應用程式通知,為強密碼策略新增額外的保護層。
使用 Microsoft Defender for Cloud Apps 設定原則以追蹤異常活動並且對其採取動作。 使用 Microsoft Defender for Cloud Apps 設定警示,讓系統管理員可以檢閱不尋常或具風險的用戶活動,例如下載大量數據、多次失敗的登入嘗試,或來自未知或危險IP位址的連線。
設定資料外洩防護 (DLP) DLP 可讓您識別敏感性資料,並且建立原則,協助防止使用者意外或故意共用資料。 DLP 可在 Microsoft 365 之間運作,包括 Exchange Online、SharePoint Online 和 OneDrive,因此您的使用者可以保持符合規範,而不會中斷他們的工作流程。
使用 Customer Lockbox 身為 Microsoft 365 系統管理員,您可以使用 Customer Lockbox 控制 Microsoft 技術支援工程師如何在協助工作階段期間存取您的資料。 在工程師需要存取您的資料來排解及修正問題的情況下,Customer Lockbox 可讓您核准或拒絕存取要求。
使用安全分數 一種安全性分析工具,建議您可以採取哪些動作來進一步降低風險。 「安全分數」會查看您的 Microsoft 365 設定和活動,並且將它們與 Microsoft 所建立的基準進行比較。 您可以根據與最佳安全性做法的一致程度來取得分數。
用來增強安全性的整體方法應該包含下列考量:
- 藉由套用雲端型和 Office 用戶端安全性功能,將重點從周邊安全性切換到端點安全性。
- 將安全性周邊縮小到資料中心
- 針對公司內部或遠端位置的使用者裝置,啟用對等信任
- 專注於保護資料位置和使用者位置
- 受控使用者電腦具有端點安全性的更高信任
- 從整體管理所有資訊安全性,而不是單獨專注在周邊上
- 藉由允許受信任的流量略過安全性裝置,並且將非受控裝置分隔為來賓 Wi-Fi 網路,以重新定義 WAN 並且建置周邊網路安全性。
- 降低公司 WAN 邊緣的網路安全性需求
- 仍然需要某些網路周邊安全性裝置 (例如防火牆),但是負載會減少
- 確保 Microsoft 365 流量的本機出口
- 改進可以逐漸實施,如同增量最佳化一節中所述。 某些優化技術可能會根據您的網路架構提供更好的成本/權益比率,而且您應該選擇最適合您組織的優化。
如需有關 Microsoft 365 安全性與合規性的詳細資訊,請參閱文章 Microsoft 365 安全性和 Microsoft Purview。
增量最佳化
我們稍早在本文中表示 SaaS 的理想網路連線模型,但對於許多具有過去複雜網路架構的大型組織而言,直接進行這些變更並不實用。 在本節中,我們會討論許多可協助改善 Microsoft 365 效能和可靠性的累加式變更。
您將用來優化 Microsoft 365 流量的方法會根據您的網路拓撲和您已實作的網路裝置而有所不同。 具有許多位置和複雜網路安全性做法的大型企業,必須開發包含 Microsoft 365 連線 原則一節中所列大部分或所有原則的策略,而較小的組織可能只需要考慮一或兩個原則。
您可以透過增量程序來達到最佳化,接續地套用各個方法。 下表列出關鍵優化方法,以針對最多用戶的延遲和可靠性所產生的影響。
最佳化方法 | 描述 | 影響 |
---|---|---|
本機 DNS 解析和網際網路出口 | 在每個位置中佈建本機 DNS 伺服器,並且確保 Microsoft 365 連線出口到盡可能接近使用者位置的網際網路。 | 將延遲降至最低 將可靠連線改善到最接近的 Microsoft 365 進入點 |
新增區域出口點 | 如果您的公司網路具有多個位置,但是只有一個出口點,請新增區域出口點,讓使用者可以連線到最接近的 Microsoft 365 進入點。 | 將延遲降至最低 將可靠連線改善到最接近的 Microsoft 365 進入點 |
略過 Proxy 和檢查裝置 | 使用 PAC 檔案 (會將 Microsoft 365 要求直接傳送到出口點) 來設定瀏覽器。 設定邊緣路由器和防火牆,允許 Microsoft 365 流量不用經過檢查。 |
將延遲降至最低 減少網路裝置上的負載 |
針對 VPN 使用者啟用直接連線 | 針對 VPN 使用者,藉由實作分割通道,讓 Microsoft 365 連線直接從使用者的網路連線,而無須透過 VPN 通道。 | 將延遲降至最低 將可靠連線改善到最接近的 Microsoft 365 進入點 |
從傳統 WAN 遷移至 SD-WAN | SD-WAN (軟體定義廣域網路) 藉由以虛擬設備來取代傳統 WAN 路由器,簡化 WAN 管理以及改進效能,類似於使用虛擬機器 (VM) 的計算資源虛擬化。 | 改善 WAN 流量的效能和管理性 減少網路裝置上的負載 |