Microsoft 365 的常見 VPN 分割通道案例
注意事項
本文是一組文章的一部分,可解決遠端使用者的 Microsoft 365 優化問題。
- 如需使用 VPN 分割通道將遠端使用者的 Microsoft 365 連線優化的概觀,請參閱 概觀:適用于 Microsoft 365 的 VPN 分割通道。
- 如需實作 VPN 分割通道的詳細指引,請參閱 實作 Microsoft 365 的 VPN 分割通道。
- 如需在 VPN 分割通道環境中保護 Teams 媒體流量的指引,請參閱 保護適用于 VPN 分割通道的 Teams 媒體流量。
- 如需如何在 VPN 環境中設定 Stream 和即時事件的相關資訊,請參閱 VPN 環境中串流和即時事件的特殊考慮。
- 如需針對中國使用者優化 Microsoft 365 全球租使用者效能的相關資訊,請參閱 適用于中國使用者的 Microsoft 365 效能優化。
在下列清單中,您會看到企業環境中最常見的 VPN 案例。 大部分客戶通常採用模型 1 (VPN 強制通道)。 本節將協助您快速且安全地轉換至 模型 2,這可在相對較少的工作量下達成,而且對網路效能和使用者體驗具有極大的好處。
Model | 描述 |
---|---|
1. VPN 強制通道 | 100% 的流量進入 VPN 通道,包括內部部署、網際網路和所有 O365/M365 |
2. 有少數例外狀況的 VPN 強制通道 | 預設會使用 VPN 通道 (預設路由會指向 VPN),具有少數允許直接前往的最重要豁免案例 |
3. 有廣泛例外狀況的 VPN 強制通道 | 預設會使用 VPN 通道 (預設路由點指向 VPN) ,但允許直接 (的例外狀況十分廣泛,例如所有 Microsoft 365、所有 Salesforce、All Zoom) |
4. VPN 選擇性通道 | VPN 通道僅用於以公司網路為基礎的服務。 預設路由 (網際網路和所有以網際網路為基礎的服務) 直接傳送。 |
5. 無 VPN | #2 的變化。 除了舊版 VPN,所有公司網路服務都是透過新式安全性方法發佈, (例如 Zscaler ZPA、Microsoft Entra識別碼 Proxy/MCAS 等。) |
1. VPN 強制通道
大多數企業客戶最常見的起始案例。 使用強制 VPN,這表示無論端點是否位於公司網路內,100% 的流量會導向公司網路。 任何外部 (網際網路) 系結流量,例如 Microsoft 365 或網際網路流覽,接著會從 Proxy 等內部部署安全性設備釘選回。 在目前幾乎 100% 使用者遠端工作的環境中,此模型因此會對 VPN 基礎結構造成高負載,而且可能會大幅阻礙所有公司流量的效能,因此企業在危機時有效率地運作。
2. 具有少量信任例外狀況的 VPN 強制通道
讓企業能夠在其中運作的效率明顯提高。 此模型允許一些高負載和延遲敏感的受控制和定義端點略過 VPN 通道,並直接前往 Microsoft 365 服務。 這可大幅改善卸載服務的效能,也可降低 VPN 基礎結構的負載,讓仍然需要它運作的元素能夠降低資源爭用量。 本文會將此模型專注在協助轉換至 ,因為它可讓您快速採取簡單且定義的動作,並產生許多正面結果。
3. 有廣泛例外狀況的 VPN 強制通道
擴大模型 2 的範圍。 它不只是直接傳送一小組已定義的端點,而是直接將所有流量傳送至信任的服務,例如 Microsoft 365 和 SalesForce。 這會進一步減輕公司 VPN 基礎結構的負載,並改善所定義服務的效能。 由於此模型可能需要更多時間來評估和實作的可行性,因此,一旦模型 2 成功就位之後,可能會在稍後反復採取的步驟。
4. VPN 選擇性通道
反轉 中的第三個模型,其中只有識別為具有公司 IP 位址的流量會向下傳送 VPN 通道,因此網際網路路徑是所有其他專案的預設路由。 此模型要求組織能順利達到零信任,才能安全地實作這個模型。 請注意,隨著一段時間,當更多服務離開公司網路並移至雲端時,此模型或其中的某些變化可能會成為必要的預設值。
Microsoft 會在內部使用此模型。 如需 Microsoft 實作 VPN 分割通道的詳細資訊,請參閱 在 VPN 上執行:Microsoft 如何保持其遠端員工的連線。
5. 無 VPN
模型 2 的更進階版本,其中任何內部服務都是透過新式安全性方法或 SDWAN 解決方案發佈,例如Microsoft Entra識別碼 Proxy、適用于雲端應用程式的 Defender、Zscaler ZPA 等。
相關文章
在今日獨特的遠端工作情境中,安全專業人員與 IT 達到現代安全控制的另一種方法 (Microsoft 安全小組部落格) (英文)
Microsoft 強化 VPN 效能:使用 Windows 10 VPN 設定檔以允許自動連線功能