共用方式為


概觀:Microsoft 365 的 VPN 分割通道

注意事項

本文是一組文章的一部分,可解決遠端使用者的 Microsoft 365 優化問題。

企業傳統上會使用 VPN 為其用戶支援安全的遠端體驗。 雖然核心工作負載仍保留在內部部署,但從遠端用戶端透過公司網路上的數據中心路由傳送的 VPN 是遠端使用者存取公司資源的主要方法。 為了保護這些連線,企業會沿著 VPN 路徑建立數層的網路安全解決方案。 此安全性是為了保護內部基礎結構,以及保護外部網站的行動流覽,方法是將流量重新路由傳送至 VPN,然後透過內部部署因特網周邊傳出。 VPN、網路周邊和相關聯的安全性基礎結構通常是針對已定義的流量進行目的建置和調整,通常會從公司網路內起始大部分的連線,而且大部分連線都保留在內部網路界限內。

有好長一段時間,只要遠端使用者的並行規模適中,且周遊 VPN 的流量很低,將來自遠端使用者裝置的所有連線傳送回內部部署網路 (也稱為強制通道) 的 VPN 模型多半是永續的。 有些客戶會繼續使用 VPN 強制通道作為狀態,即使在其應用程式從公司周邊內部移至公用 SaaS 雲端之後也一樣。

使用強制通道 VPN 連線到分散式和效能敏感的雲端應用程式是次佳的,但某些企業已接受負面影響,以維持安全性狀態。 此案例的範例圖表如下所示:

強制通道 VPN 設定。

圖 1:傳統的強制通道 VPN 解決方案。

此問題已持續成長許多年,許多客戶回報網路流量模式大幅轉移。 用來留在內部部署的流量現在會連線到外部雲端端點。 許多 Microsoft 客戶回報先前,大約 80% 的網路流量是以上圖中虛線表示的一些內部來源 () 。 在 2020 年,該數位已減少至大約 20% 或更低,因為它們已將主要工作負載移至雲端。 這些趨勢在其他企業中並不常見。 隨著一段時間,隨著雲端旅程的進行,上述模型變得越來越繁瑣且不可靠,使得組織在進入雲端優先世界時無法靈活。

全球 COVID-19 危機使此問題呈報,需要立即補救。 需要確保員工安全對企業IT產生前所未有的要求,以大規模支援家庭工作生產力,這在後危機時期仍然成立。 Microsoft 365 非常適合用來協助客戶滿足該需求,但高並行使用者在家工作會產生大量的 Microsoft 365 流量,如果透過強制通道 VPN 和內部部署網路周邊路由傳送,會導致快速飽和,並執行容量不足的 VPN 基礎結構。 在此危機後實境中,使用 VPN 存取 Microsoft 365 不再只是效能阻礙,而是一道硬牆,不僅會影響 Microsoft 365,還會影響仍然需要依賴 VPN 來運作的重要商務作業。

Microsoft 一直與客戶和更廣大的產業密切合作,從我們自己的服務中為這些問題提供有效、現代化的解決方案,並配合業界最佳做法。 Microsoft 365 服務的連線原則已設計為有效率地為遠端使用者工作,同時仍可讓組織維護安全性,並控制其連線能力。 這些解決方案也可以透過有限的工作快速實作,但會對上述問題產生顯著的正面影響。

對於透過 VPN 將其遠端背景工作裝置連線到公司網路或雲端基礎結構的客戶,Microsoft 建議透過 VPN 分割通道設定路由傳送重要的 Microsoft 365 案例 Microsoft TeamsSharePointExchange Online。 這變得特別重要,因為在 COVID-19 危機等大規模家庭工作事件期間,為了促進員工持續生產力的一線策略,這會變得特別重要。

分割通道 VPN 組態。

圖 2:VPN 分割通道解決方案,其中已定義的 Microsoft 365 例外狀況會直接傳送至服務。 不論目的地為何,所有其他流量都會周遊 VPN 通道。

此方法的本質是提供方法,讓企業降低 VPN 基礎結構飽和的風險,並在最短的時間範圍內大幅改善 Microsoft 365 效能。 設定 VPN 用戶端以允許最重要、大量 Microsoft 365 流量略過 VPN 通道,可達到下列優點:

  • 立即減輕影響 Microsoft 365 用戶體驗的企業 VPN 架構中大部分客戶回報效能和網路容量問題的根本原因

    建議的解決方案特別以 Microsoft 365 服務端點為目標,在 Microsoft 365 URL 和 IP 位址範圍一文中分類為優化。 這些端點的流量對於延遲和頻寬節流非常敏感,而讓它略過 VPN 通道,可以大幅改善用戶體驗,並降低公司網路負載。 不構成大部分頻寬或用戶體驗使用量的 Microsoft 365 連線,可以繼續透過 VPN 通道以及因特網系結流量的其餘部分來路由傳送。 如需詳細資訊,請參閱 VPN 分割通道策略

  • 客戶可以快速設定、測試及實作,而且沒有額外的基礎結構或應用程式需求

    視 VPN 平台和網路架構而定,實作可能只需幾個小時就能完成。 如需詳細資訊,請參閱實作 VPN 分割通道

  • 不變更其他連線的路由傳送方式 (包括送至網際網路的流量),以維持客戶 VPN 實作的安全狀況。

    建議的設定會依循 VPN 流量例外狀況的最低權限原則,並可讓客戶實作分割通道 VPN,而不會讓使用者或基礎結構暴露於其他安全性風險。 直接路由傳送至 Microsoft 365 端點的網路流量會經過加密、由 Office 用戶端應用程式堆疊驗證完整性,並限定在應用程式和網路層級強化的 Microsoft 365 服務專用 IP 位址。 如需詳細資訊,請參閱在今日獨特的遠端工作情境中,安全專業人員與 IT 達到現代安全控制的另一種方法 (Microsoft 安全小組部落格) (英文)。

  • 大部分企業 VPN 平台都提供原生支援

    Microsoft 持續與生產商業 VPN 解決方案的產業夥伴合作,協助合作夥伴依據上述建議,針對其解決方案開發目標式指引和設定範本。 如需詳細資訊,請參閱常見 VPN 平台的 HOWTO 指南

提示

Microsoft 建議將分割通道 VPN 設定的焦點放在 Microsoft 365 服務的已記載專用 IP 範圍上。 FQDN 或 AppID 型分割通道組態雖然可能在特定 VPN 用戶端平台上執行,但可能不會完全涵蓋重要的 Microsoft 365 案例,而且可能會與以 IP 為基礎的 VPN 路由規則衝突。 基於這個理由,Microsoft 不建議使用 Microsoft 365 FQDN 來設定分割通道 VPN。 在其他相關案例 (例如 .pac 檔案自訂或要實作 Proxy 旁路) 中,使用 FQDN 設定可能很有用。

如需完整實作指引,請參閱 實作 Microsoft 365 的 VPN 分割通道

如需為遠端工作者設定 Microsoft 365 的逐步程式,請參閱 設定遠端工作的基礎結構

VPN 分割通道策略

傳統公司網路通常設計為在最重要數據、服務、應用程式裝載於內部部署且與大多數用戶一樣直接連線到內部公司網路的預先雲端世界中安全地運作。 因此,網路基礎結構會基於以下元素而建置:分公司透過「多重通訊協定標籤切換 (MPLS)」網路連線到總公司,而遠端使用者必須透過 VPN 連線到公司網路,才能存取內部部署端點和網際網路。 在此模型中,來自遠端使用者的所有流量都周遊公司網路,並透過通用出口點路由傳送到雲端服務。

強制 VPN 設定。

圖 2:遠端使用者的常見 VPN 解決方案,不論目的地為何,所有流量都會強制返回公司網路。

當組織將數據和應用程式移至雲端時,此模型已開始變得較不有效,因為它很快就會變得繁瑣、昂貴且無法調整,大幅影響使用者的網路效能和效率,並限制組織適應變更需求的能力。 許多 Microsoft 客戶都曾報告,數年前有 80% 的網路流量流向內部目的地,但在 2020 年,80% 以上的流量會連線到外部雲端式資源。

COVID-19 危機使此問題面臨,需要絕大多數組織的立即解決方案。 許多客戶發現強制 VPN 模型的延展性或效能不足,無法滿足 100% 遠端工作案例的需求,例如此危機已發生的情況。 這些組織需要快速的解決方案,才能有效率地運作。

針對 Microsoft 365 服務,Microsoft 已將此問題的服務連線需求明確地設計,其中一組專注、嚴密控制且相對靜態的服務端點可以簡單且快速地優化,以便為存取服務的使用者提供高效能,並降低 VPN 基礎結構的負擔,讓仍然需要它的流量可以使用它。

Microsoft 365 會將 Microsoft 365 的必要端點分類為三個類別:優化允許預設。 [最佳化] 端點是我們的討論重點,其具有下列特性:

  • 是 Microsoft 所擁有和管理的端點,並且在 Microsoft 基礎結構上託管
  • 專屬於核心 Microsoft 365 工作負載,例如 Exchange Online、SharePoint、商務用 Skype Online 和 Microsoft Teams
  • 已提供 IP
  • 變動率很低,且應保持少量 (目前為 20 個 IP 子網路)
  • 屬於大量和/或延遲敏感型
  • 能夠擁有服務中提供 (而非內嵌在網路上) 的必要安全性元素
  • 占 Microsoft 365 服務流量的 70-80% 左右

這組緊密限定範圍的端點可以從強制 VPN 通道中分割,並透過使用者的本機介面安全地直接傳送至 Microsoft 365 服務。 這稱為分割通道

DLP、AV 保護、驗證和訪問控制等安全性元素都可以更有效率地針對服務內不同層級的這些端點提供。 由於我們也會將大量流量從 VPN 解決方案轉移開來,這可為仍然依賴 VPN 解決方案的業務關鍵流量釋出 VPN 容量。 在許多情況下,應該也能免除經歷冗長且昂貴升級方案來處理這種新運作方式的需求。

分割通道 VPN 設定詳細數據。

圖 3:VPN 分割通道解決方案,其中已定義 Microsoft 365 例外狀況會直接傳送至服務。 不論目的地為何,所有其他流量都會強制返回公司網路。

從安全性的觀點來看,Microsoft 有一系列的安全性功能,可用來提供類似內部部署安全性堆疊的內嵌檢查所提供的安全性,或甚至更強的安全性。 Microsoft 安全小組的部落格文章在今日獨特的遠端工作情境中,安全專業人員與 IT 達到現代安全控制的另一種方法 (英文) 清楚地概括說明可用的功能,而您可在這篇文章中找到更多詳細的指引。 如需有關 Microsoft 實作 VPN 分割通道的詳細資訊,另請參閱在 VPN 上執行:Microsoft 如何使遠端員工保持聯繫 (英文)。

在許多情況下,此實作可在幾小時內達成,讓組織得以迅速轉向全規模遠距工作來快速解決其所面臨的最迫切問題。 如需 VPN 分割通道實作指引,請參閱 實作 Microsoft 365 的 VPN 分割通道

常見問題集

Microsoft 安全性小組已發佈安全 性專業人員和 IT 的替代方式,以在現今獨特的遠端工作案例中達成新式安全性控制,這是一篇部落格文章,概述安全性專業人員和 IT 可在現今獨特的遠端工作案例中達成新式安全性控制的重要方式。 此外,以下是關於此主題的一些常見客戶問題以及解答。

如何? 停止使用者存取我不信任的其他租用戶,他們可以在何處外泄數據?

解答是稱為租用戶限制的功能。 驗證流量不高,也不會特別區分延遲,因此可以透過 VPN 解決方案傳送至套用功能的內部部署 Proxy。 此處會維護受信任租用戶的允許清單,如果客戶端嘗試取得不受信任租使用者的令牌,Proxy 只會拒絕要求。 如果租用戶受信任,且如果使用者有適當的認證和權利,就可以存取權杖。

因此,即使使用者可以對優化標示的端點進行 TCP/UDP 連線,但沒有有效的令牌來存取有問題的租用戶,他們還是無法登入並存取/移動任何數據。

此模式是否允許存取個人 OneDrive 帳戶等消費者服務?

否,不行,Microsoft 365 端點與取用者服務不同, (Onedrive.live.com 做為範例) ,因此分割通道不允許使用者直接存取取用者服務。 送至消費者端點的流量會繼續使用 VPN 通道,且繼續適用現有的原則。

當流量不再透過內部部署解決方案傳送時,如何套用 DLP 並保護我的敏感性資料?

為了協助您避免意外洩漏敏感性資訊,Microsoft 365 有一組豐富的 內建工具。 您可以使用 Teams 和 SharePoint 的內建 DLP 功能來偵測不當儲存或共用的敏感性資訊。 如果您的遠端工作策略包含自備裝置 (BYOD) 原則,您可以使用 應用程式型條件式存取 來防止敏感數據下載到使用者的個人裝置

我要如何在使用者直接連線的情況下,評估使用者的驗證及維持其控制權?

除了 Q1 所述的租用戶限制功能以外,可以套用條件式存取原則來動態評估驗證要求的風險並做出適當的反應。 Microsoft 建議 零信任 模型會隨著時間實作,而且我們可以使用 Microsoft Entra 條件式存取原則,在行動和雲端優先的世界中維持控制。 您可使用條件式存取原則,根據下列許多因素來對驗證要求是否成功做出即時決策:

  • 裝置 – 裝置是否已知/受信任/加入網域?
  • IP – 驗證要求來自已知的公司 IP 位址嗎? 或是來自我們不信任的國家/地區?
  • 應用程式 – 使用者是否已獲得使用此應用程式的授權?

然後,我們可以根據這些原則來觸發核准、觸發 MFA 或封鎖驗證等原則。

如何防禦病毒和惡意程式碼?

同樣地,Microsoft 365 會在服務本身的各種層級中提供優化標示端點的保護, 如本檔所述。 如前所述,在服務本身提供這些安全性元素,而不是嘗試與可能無法完全了解通訊協定/流量的裝置一起執行,會更有效率。 根據預設,SharePoint 會自動掃描檔案上傳的 已知惡意代碼

針對上面所列的 Exchange 端點,Exchange Online Protectionmicrosoft 365 的 Microsoft Defender 會在提供服務流量安全性的絕佳工作。

我可以直接傳送除了最佳化以外的流量?

標示 [最佳化] 的端點應獲得優先順序,因為這些端點會為低階工作帶來最大好處。 不過,如果您想要的話,服務必須要有 [允許標示的端點] 才能運作,而且必須為可視需要使用的端點提供IP位址。

也有各種廠商提供稱為 安全 Web 閘道 的雲端式 Proxy/安全性解決方案,提供一般網頁流覽的中央安全性、控制和公司原則應用程式。 這些解決方案可在雲端優先世界中運作良好,如果高可用性、效能良好,並透過允許從靠近使用者的雲端式位置傳遞安全的因特網存取,而接近您的使用者。 這樣就不需要透過 VPN/公司網路進行一般流覽流量,同時仍允許中央安全性控制。

不過,即使這些解決方案已就緒,Microsoft 仍強烈建議將標示為優化的 Microsoft 365 流量直接傳送至服務。

如需允許直接存取 Azure 虛擬網路 的指引,請參閱使用 Azure VPN 閘道 點對站的遠端工作

為何需要連接埠 80? 傳送的流量是否沒問題?

連接埠 80 只用於重新導向連接埠 443 工作階段之類的情況,無法透過連接埠 80 傳送或存取任何客戶資料。 加密 概述 Microsoft 365 傳輸中和待用數據的加密,而 流量類型 則概述我們如何使用 SRTP 來保護 Teams 媒體流量。

此建議是否適用於使用 Microsoft 365 全球實例在中國的使用者?

,不適用。 上述建議的其中一個注意事項是,中國用戶連線到全球 Microsoft 365 實例。 由於區域中經常發生跨境網路擁塞情況,因此直接網際網路出口效能可能變化無常。 區域中大部分的客戶都會使用 VPN 將流量帶入公司網路,並利用其授權的 MPLS 線路,或類似於透過優化路徑的輸出國家/地區。 這會在 適用於中國使用者的 Microsoft 365 效能優化一文中進一步說明。

分割通道設定是否適用於在瀏覽器中執行的Teams?

是,請注意。 [ 取得 Microsoft Teams 的客戶端] 中所列的瀏覽器支援大部分的 Teams 功能。

此外,Microsoft Edge 96 和更新版本 藉由啟用 Edge WebRtcRespectOsRoutingTableEnabled 原則,支援點對點流量的 VPN 分割通道。 目前,其他瀏覽器可能不支援點對點流量的 VPN 分割通道。

實作 Microsoft 365 的 VPN 分割通道

Microsoft 365 的常見 VPN 分割通道案例

保護 VPN 分割通道的 Teams 媒體流量

VPN 環境中 Stream 和即時活動的特殊考慮

適用於中國使用者的 Microsoft 365 效能優化

Microsoft 365 網路連線能力準則

評定 Microsoft 365 網路連線

Microsoft 365 網路和效能微調

在今日獨特的遠端工作情境中,安全專業人員與 IT 達到現代安全控制的另一種方法 (Microsoft 安全小組部落格) (英文)

Microsoft 強化 VPN 效能:使用 Windows 10 VPN 設定檔以允許自動連線功能

在 VPN 上執行:Microsoft 如何使遠端員工保持聯繫 (英文)

Microsoft 全球網路