Управление на крайни точки на Office 365

Мрежово свързване към Office 365

4.10.2017 г. Връзките към Office 365 се състоят от голям обем надеждни мрежови заявки, които се изпълняват най-добре, когато са направени през изходна точка с ниска стойност на задържането, която е близо до потребителя. Някои връзки на Office 365 могат да се подобрят с оптимизиране на връзката.

  1. Уверете се, че защитната ви стена позволява списъци за свързване към крайни точки на Office 365.

  2. Използвайте своята инфраструктура за прокси сървър, за да позволите интернет връзка с непубликувани местоназначения и такива, които използват заместващ символ.

  3. Поддържайте оптимална конфигурация на мрежовия периметър.

Свързване към Office 365 чрез защитни стени и прокси сървъри.

Актуализиране на вашите изходящи списъци с разрешени адреси за защитна стена

Можете да оптимизирате вашата мрежа чрез изпращане на всички надеждни мрежови заявки на Office 365 директно през вашата защитна стена, заобикаляйки цялата допълнителна проверка или обработка на ниво пакети. Това намалява ниската производителност вследствие на закъснението, както и изискванията към капацитета за периметър. Най-лесният начин да изберете на кои мрежови заявки да се доверите, е да използвате нашите предварително вградени PAC файлове в раздела Прокси сървъри по-горе.

Ако вашата защитна стена блокира изходящия трафик, добре е да се уверите, че всички IP адреси и потребителски домейни в пълен вид, изброени като Задължителни в този XML файл, са в списъка с разрешени адреси. Разпознаването на всички услуги изисква използването на някои услуги на други доставчици. Ние не предоставяме IP адресите за тези услуги на други доставчици, например доставчици на сертификати, мрежи за доставяне на съдържание, доставчици на DNS и т.н. За пълната функционалност на Office 365 трябва да можете да достигнете до всички местоназначения, изисквани от Office 365, независимо колко информация публикуваме за дадено местоназначение.

Много местоназначения нямат публикуван IP адрес или са изброени като заместващ домейн без име на домейна в пълен вид. За да използвате тази функционалност, трябва да можете да превърнете тези мрежови заявки в заявки до текущ IP адрес и да изпратите мрежовата заявка в интернет.

Автоматизирайте процеса, като използвате защитна стена, която анализира XML файла от ваше име и актуализира правилата ви автоматично въз основа на услугите или функциите, до които планирате да достигате директно през вашата защитна стена. Можете също да използвате създадения от общността инструмент Azure Range, който анализира XML файла вместо вас с опции за експортиране за Cisco XE Route или конфигуриране на ACL списък, обикновен текст или CSV.

По-дълго обяснение на мрежовите местоназначения е налично също и в нашия справочен сайт, както и чрез нашия базиран на RSS регистър на промените, така че можете да се абонирате за промените.

Конфигуриране на изходящи пътища с PAC файлове

Използвайте PAC или WPAD файлове, за да управлявате мрежови заявки, които са свързани с Office 365, но нямат предоставен IP адрес. Обикновено мрежовите заявки, които са изпратени чрез прокси сървър или ограничително устройство, внасят допълнително задържане. Освен това тези ограничителни устройства за мрежа се нуждаят от достатъчен капацитет за обработка на всички мрежови заявки. Препоръчваме заобикаляне на вашия прокси сървър или на инфраструктурата за проверка при директни мрежови заявки на Office 365.

Използвайте един от нашите PAC файлове като изходна точка, за да определите какъв мрежов трафик ще се изпраща към прокси сървър и какъв ще се изпраща към защитна стена. Ако нямате опит в работата с PAC или WPAD файлове, прочетете тази публикация за разполагането на PAC файлове от един от нашите консултанти по Office 365. Добре е да я прегледате като отправна точка и да редактирате съдържанието й така, че да отговаря на вашата среда.

PAC файлове, актуализирани на 4.10.2017 г.

Първият пример илюстрира препоръчвания от нас подход за управление на крайните точки само по интернет. Заобикаля прокси сървъра за местоназначения на Office 365, където е публикуван IP адресът, и изпраща останалите мрежови заявки към прокси сървъра.

Фрагмент от код:

// JavaScript source code

November2017 - Updates go live 1st Dec2017
//This PAC file contains all FQDNs needed for all services and splits the traffic between those which Microsoft can provide IPs for (so can be sent through a managed firewall with conditional access) and those which IPs cannot be provided for, so need to go to an unrestricted proxy or egress. 
//Due to the use of wildcards, some extra logic is provided to send traffic to the proxy before a 'direct' wildcard is hit.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    var proxyserver2 = "PROXY 10.10.10.11:8080"
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    //Catch explicit FQDNs which need the proxy but are covered under wildcarded FQDNs which have IPs. This has to be done first before the wildcard is hit

    if ((shExpMatch(host, "browser.pipe.aria.microsoft.com")) 
        || (shExpMatch(host, "compliance.outlook.com"))       
        || (shExpMatch(host, "mobile.pipe.aria.microsoft.com"))
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "r1.res.office365.com")) 
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "r3.res.outlook.com"))
        || (shExpMatch(host, "xsi.outlook.com")))

    {
        return proxyserver;
    }
        //Send FQDNs which Microsoft provide IPs for direct, so they can be sent via a firewall

    else if ((isPlainHostName(host))
    || (shExpMatch(host, "*.asm.skype.com"))
    || (shExpMatch(host, "*.broadcast.skype.com"))
    || (shExpMatch(host, "*.cc.skype.com"))
    || (shExpMatch(host, "*.config.skype.com"))
    || (shExpMatch(host, "*.conv.skype.com"))
    || (shExpMatch(host, "*.dc.trouter.io"))
    || (shExpMatch(host, "*.infra.lync.com"))
    || (shExpMatch(host, "*.lync.com"))
    || (shExpMatch(host, "*.msg.skype.com"))
    || (shExpMatch(host, "*.office365.com"))
    || (shExpMatch(host, "*.outlook.com"))
    || (shExpMatch(host, "*.outlook.office.com"))
    || (shExpMatch(host, "*.pipe.aria.microsoft.com"))
    || (shExpMatch(host, "*.pipe.skype.com"))
    || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
    || (shExpMatch(host, "*.protection.office.com"))
    || (shExpMatch(host, "*.sharepoint.com"))
    || (shExpMatch(host, "*.skypeforbusiness.com"))
    || (shExpMatch(host, "*.svc.ms"))
    || (shExpMatch(host, "*.teams.microsoft.com"))
    || (shExpMatch(host, "*.teams.skype.com"))
    || (shExpMatch(host, "*.yammer.com"))
    || (shExpMatch(host, "*.yammerusercontent.com"))
    || (shExpMatch(host, "*broadcast.officeapps.live.com"))
    || (shExpMatch(host, "*excel.officeapps.live.com"))
    || (shExpMatch(host, "*onenote.officeapps.live.com"))
    || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
    || (shExpMatch(host, "*view.officeapps.live.com"))
    || (shExpMatch(host, "*visio.officeapps.live.com"))
    || (shExpMatch(host, "*word-edit.officeapps.live.com"))
    || (shExpMatch(host, "*word-view.officeapps.live.com"))    
    || (shExpMatch(host, "account.office.net"))
    || (shExpMatch(host, "adminwebservice.microsoftonline.com"))
    || (shExpMatch(host, "agent.office.net"))
    || (shExpMatch(host, "apc.delve.office.com"))
    || (shExpMatch(host, "api.login.microsoftonline.com"))
    || (shExpMatch(host, "aus.delve.office.com"))
    || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))    
    || (shExpMatch(host, "can.delve.office.com"))
    || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
    || (shExpMatch(host, "ccs.login.microsoftonline.com"))
    || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
    || (shExpMatch(host, "clientlog.portal.office.com"))
    || (shExpMatch(host, "config.edge.skype.com"))
    || (shExpMatch(host, "controls.office.com"))
    || (shExpMatch(host, "cus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "delve.office.com"))
    || (shExpMatch(host, "device.login.microsoftonline.com"))    
    || (shExpMatch(host, "ea-000.tasks.osi.office.net"))
    || (shExpMatch(host, "eus-zzz.tasks.osi.office.net"))
    || (shExpMatch(host, "gbr.delve.office.com"))
    || (shExpMatch(host, "hip.microsoftonline-p.net"))
    || (shExpMatch(host, "hipservice.microsoftonline.com"))
    || (shExpMatch(host, "home.office.com"))
    || (shExpMatch(host, "ind.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "kor.delve.office.com"))
    || (shExpMatch(host, "lam.delve.office.com"))
    || (shExpMatch(host, "login.microsoft.com"))
    || (shExpMatch(host, "login.microsoftonline.com"))
    || (shExpMatch(host, "login.microsoftonline-p.com"))
    || (shExpMatch(host, "login.windows.net"))
    || (shExpMatch(host, "logincert.microsoftonline.com"))
    || (shExpMatch(host, "loginex.microsoftonline.com"))
    || (shExpMatch(host, "login-us.microsoftonline.com"))     
    || (shExpMatch(host, "nam.delve.office.com"))
    || (shExpMatch(host, "neu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "nexus.microsoftonline-p.com"))
    || (shExpMatch(host, "nexus.officeapps.live.com"))
    || (shExpMatch(host, "nexusrules.officeapps.live.com"))
    || (shExpMatch(host, "office.live.com")) 
    || (shExpMatch(host, "pipe.skype.com"))
    || (shExpMatch(host, "portal.microsoftonline.com"))
    || (shExpMatch(host, "portal.office.com"))
    || (shExpMatch(host, "prod.registrar.skype.com"))
    || (shExpMatch(host, "prod.tpc.skype.com"))
    || (shExpMatch(host, "provisioningapi.microsoftonline.com"))
    || (shExpMatch(host, "s-0001.s-msedge.net"))
    || (shExpMatch(host, "s-0004.s-msedge.net"))
    || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net"))   
    || (shExpMatch(host, "sea-000.tasks.osi.office.net"))    
    || (shExpMatch(host, "signup.microsoft.com"))
    || (shExpMatch(host, "stamp2.login.microsoftonline.com"))
    || (shExpMatch(host, "suite.office.net"))    
    || (shExpMatch(host, "tasks.office.com"))
    || (shExpMatch(host, "teams.microsoft.com"))
    || (shExpMatch(host, "testconnectivity.microsoft.com"))
    || (shExpMatch(host, "weu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "wus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "www.office.com"))
    || (shExpMatch(host, "www.sway.com")))
      
    {
        return "DIRECT";
    }
    else

        // Send all unknown IP traffic to Proxy for unrestricted access. This section is not necessary if you have a catchall for all other traffic to go to an unfiltered proxy. 
        //However the fqdns required, but for which we dont have IPs for, are listed here incase you need an explicit list.

    if ((shExpMatch(host, "*.aadrm.com")) 
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "*.adhybridhealth.azure.com"))    
        || (shExpMatch(host, "*.api.microsoftstream.com"))   
        || (shExpMatch(host, "*.api.skype.com"))
        || (shExpMatch(host, "*.assets-yammer.com"))   
        || (shExpMatch(host, "*.azurerms.com")) 
        || (shExpMatch(host, "*.azureedge.net"))            
        || (shExpMatch(host, "*.cloudapp.net")) 
        || (shExpMatch(host, "*.entrust.net")) 
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.helpshift.com"))   
        || (shExpMatch(host, "*.hockeyapp.net"))    
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    
        || (shExpMatch(host, "*.microsoft.com"))
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))
        || (shExpMatch(host, "*.msedge.net"))      
        || (shExpMatch(host, "*.msocdn.com"))   
        || (shExpMatch(host, "*.office.com"))   
        || (shExpMatch(host, "*.office.net")) 
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.secure.skypeassets.com"))  
        || (shExpMatch(host, "*.sfbassets.com"))
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))     
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))
        || (shExpMatch(host, "*.windows.net"))
        || (shExpMatch(host, "ad.atdmt.com")) 
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "ajax.aspnetcdn.com")) 
        || (shExpMatch(host, "aka.ms"))
        || (shExpMatch(host, "amp.azure.net")) 
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "broadcast.skype.com")) 
        || (shExpMatch(host, "cacerts.digicert.com"))        
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "compliance.outlook.com"))   
        || (shExpMatch(host, "connect.facebook.net"))        
        || (shExpMatch(host, "crl.globalsign.com"))
        || (shExpMatch(host, "crl3.digicert.com"))  
        || (shExpMatch(host, "crl4.digicert.com")) 
        || (shExpMatch(host, "dc.services.visualstudio.com")) 
        || (shExpMatch(host, "domains.live.com"))
        || (shExpMatch(host, "ecn.dev.virtualearth.net "))   
        || (shExpMatch(host, "eus-www.sway-cdn.com"))
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "eur.delve.office.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "firstpartyapps.oaspapps.com")) 
        || (shExpMatch(host, "graph.skype.com"))   
        || (shExpMatch(host, "groupsapi2-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi3-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi4-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi-prod.outlookgroups.ms")) 
        || (shExpMatch(host, "latest-swx.cdn.skype.com")) 
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com")) 
        || (shExpMatch(host, "management.azure.com"))        
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "ocsp.globalsign.com"))
        || (shExpMatch(host, "ocsp.msocsp.com"))       
        || (shExpMatch(host, "ocsp2.globalsign.com"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com")) 
        || (shExpMatch(host, "pipe.skype.com")) 
        || (shExpMatch(host, "platform.linkedin.com"))
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))
        || (shExpMatch(host, "prod.firstpartyapps.oaspapps.com.akadns.net")) 
        || (shExpMatch(host, "r1.res.office365.com"))
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "s.ytimg.com")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "secure.aadcdn.microsoftonline-p.com"))
        || (shExpMatch(host, "secure.globalsign.com")) 
        || (shExpMatch(host, "site-cdn.onenote.net")) 
        || (shExpMatch(host, "skydrive.wns.windows.com")) 
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))   
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))  
        || (shExpMatch(host, "staffhub.ms"))
        || (shExpMatch(host, "staffhub.uservoice.com")) 
        || (shExpMatch(host, "sway.com"))              
        || (shExpMatch(host, "swx.cdn.skype.com"))  
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))         
        || (shExpMatch(host, "telemetryservice.firstpartyapps.oaspapps.com"))    
        || (shExpMatch(host, "web.microsoftstream.com"))         
        || (shExpMatch(host, "wus-firstpartyapps.oaspapps.com"))  
        || (shExpMatch(host, "wus-www.sway-cdn.com"))
        || (shExpMatch(host, "wus-www.sway-extensions.com"))   
        || (shExpMatch(host, "xsi.outlook.com"))
        || (shExpMatch(url, "http://apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(url, "http://cert.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://crl.identrust.com/DSTROOTCAX3CRL.crl"))
        || (shExpMatch(url, "http://isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(url, "http://ocsp.digicert.com"))
        || (shExpMatch(url, "http://ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://ocsp.msocsp.com"))
        || (shExpMatch(url, "http://ocspx.digicert.com"))   
        || (shExpMatch(url, "https://assets.onestore.ms/cdnfiles/external/"))   
        || (shExpMatch(url, "https://cdn.optimizely.com/js/"))  
        || (shExpMatch(url, "https://nps.onyx.azure.net"))
        || (shExpMatch(url, "https://web.localytics.com/v3/localytics.js"))  
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertGlobalRootCA.crt"))
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertHighAssuranceEVRootCA.crt"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com"))
        || (shExpMatch(host, "www.youtube.com")))
        

    {
        return proxyserver;
    }

    //Catchall for all other traffic to another proxy 

else return proxyserver;
}

Вторият пример илюстрира препоръчвания от нас подход за управление на връзки, когато са налични вериги на ExpressRoute и интернет. Изпраща рекламираните от ExpressRoute местоназначения към веригата на ExpressRoute, а рекламираните само по интернет местоназначения – към прокси сървъра.

Фрагмент от код:

// JavaScript source code
//November2017 Update
// Consolidated FQDNs of URLS which are reachable via Microsoft peering over ExpressRoute. All other traffic sent to a proxy in this example. 
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your traffic flow needs and the Office 365 URL & IP page. 
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;
    //SUB-FQDNs of ExpressRoutable wildcards which need to be explicitly sent to the proxy at the top of the PAC because they arent ER routable
    if ((shExpMatch(host, "*.click.email.microsoftonline.com"))
        || (shExpMatch(host, "*.portal.microsoftonline.com")))					
    {
        return proxyserver;
    }
        //EXPRESS ROUTE DIRECT
    else if ((isPlainHostName(host))
            || (shExpMatch(host, "*.asm.skype.com"))
            || (shExpMatch(host, "*broadcast.officeapps.live.com"))
            || (shExpMatch(host, "*.cc.skype.com"))
            || (shExpMatch(host, "*.config.skype.com"))    
            || (shExpMatch(host, "*.conv.skype.com"))
            || (shExpMatch(host, "*.dc.trouter.io"))
            || (shExpMatch(host, "*excel.officeapps.live.com"))
            || (shExpMatch(host, "*.lync.com"))	
            || (shExpMatch(host, "*.microsoftonline.com"))
            || (shExpMatch(host, "*.msg.skype.com"))
            || (shExpMatch(host, "*onenote.officeapps.live.com"))
            || (shExpMatch(host, "*.outlook.office.com"))
            || (shExpMatch(host, "*.pipe.skype.com")) 
            || (shExpMatch(host, "*.pipe.aria.microsoft.com")) 
            || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
            || (shExpMatch(host, "*.protection.office.com"))
            || (shExpMatch(host, "*.protection.outlook.com"))						
            || (shExpMatch(host, "*.sharepoint.com")) 
            || (shExpMatch(host, "*.skypeforbusiness.com")) 
            || (shExpMatch(host, "*.svc.ms"))   
            || (shExpMatch(host, "*.teams.microsoft.com"))  
            || (shExpMatch(host, "*.teams.skype.com"))  
            || (shExpMatch(host, "*view.officeapps.live.com"))                                 
            || (shExpMatch(host, "*visio.officeapps.live.com"))
            || (shExpMatch(host, "*word-view.officeapps.live.com"))
            || (shExpMatch(host, "*word-edit.officeapps.live.com"))	
            || (shExpMatch(host, "autodiscover-*.outlook.com"))				
            || (shExpMatch(host, "apc.delve.office.com"))
            || (shExpMatch(host, "aus.delve.office.com"))
            || (shExpMatch(host, "account.office.net"))
            || (shExpMatch(host, "agent.office.net"))  
            || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))  
            || (shExpMatch(host, "can.delve.office.com")) 
            || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
            || (shExpMatch(host, "ccs.login.microsoftonline.com"))  
            || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
            || (shExpMatch(host, "config.edge.skype.com"))
            || (shExpMatch(host, "delve.office.com"))
            || (shExpMatch(host, "domains.live.com")) 
            || (shExpMatch(host, "eur.delve.office.com"))
            || (shExpMatch(host, "gbr.delve.office.com"))
            || (shExpMatch(host, "hip.microsoftonline-p.net"))
            || (shExpMatch(host, "home.office.com"))
            || (shExpMatch(host, "ind.delve.office.com"))
            || (shExpMatch(host, "jpn.delve.office.com"))
            || (shExpMatch(host, "kor.delve.office.com"))
            || (shExpMatch(host, "lam.delve.office.com"))
            || (shExpMatch(host, "login.microsoftonline-p.net"))				
            || (shExpMatch(host, "login.windows.net"))						
            || (shExpMatch(host, "login.microsoft.com"))
            || (shExpMatch(host, "nam.delve.office.com"))
            || (shExpMatch(host, "nexus.microsoftonline-p.net"))
            || (shExpMatch(host, "office.live.com")) 
            || (shExpMatch(host, "outlook.office365.com")) 
            || (shExpMatch(host, "pipe.skype.com"))	
            || (shExpMatch(host, "portal.office.com"))
            || (shExpMatch(host, "prod.registrar.skype.com"))
            || (shExpMatch(host, "prod.tpc.skype.com"))
            || (shExpMatch(host, "s-0001.s-msedge.net"))
            || (shExpMatch(host, "s-0004.s-msedge.net"))
            || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net"))
            || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net"))  
            || (shExpMatch(host, "signup.microsoft.com"))
            || (shExpMatch(host, "smtp.office365.com"))  
            || (shExpMatch(host, "suite.office.net")) 
            || (shExpMatch(host, "teams.microsoft.com"))  
            || (shExpMatch(host, "www.outlook.com"))   						
            || (shExpMatch(host, "www.office.com")))



       
    {
        return "DIRECT";
    }

        // If Azure public peering is available the following can be added to the Expressroute section above and sent direct via ER. If not these can be sent via the internet i.e delete them from the PAC file.
       
        //*.adhybridhealth.azure.com
        //*.cloudapp.net
        //*.blob.core.windows.net
        //*.hybridconfiguration.azurewebsites.net
        //*.keydelivery.mediaservices.windows.net
        //*.queue.core.windows.net
        //*.servicebus.windows.net - Port: 5671 (If 5671 is blocked, agent falls back to 443, but using 5671 is recommended.)
        //*.store.core.windows.net
        //*.streaming.mediaservices.windows.net
        //*.table.core.windows.net
        //compliance.outlook.com
        //dc.services.visualstudio.com
        //equivio.office.com
        //equivioprod*.cloudapp.net
        //hybridconfiguration.azurewebsites.net
        //liverdcxstorage.blob.core.windowsazure.com//
        //management.azure.com
        //mshrcstorageprod.blob.core.windows.net
        //office365servicehealthcommunications.cloudapp.net
        //office365zoom.cloudapp.net
        //policykeyservice.dc.ad.msft.net
        //protection.office.com
        //secure.aadcdn.microsoftonline-p.com
        //telemetry.remoteapp.windowsazure.com
        //vortex.data.microsoft.com
        //www.remoteapp.windowsazure.com
        //zoom-cs-prod*.cloudapp.net



        //Catchall for all other traffic to proxy
    else
    {
        return proxyserver;
    }
}

Третият пример илюстрира изпращането на всички мрежови заявки, които са свързани с Office 365, към едно-единствено местоназначение. Това обикновено се използва за заобикаляне на всички проверки на мрежовите заявки за Office 365 и освен това ви предлага формат, при който всички публикувани крайни точки са в списък в PAC формат за използване при персонализиране.

Фрагмент от код:

// JavaScript source code
//November 2017 Update new URLS go live 1st Dec2017 - Some URLs may have been removed from this file from previous versions as they are no longer required.
//Consolidated FQDNs required to access Office 365 - All services including optional components covered and elements covered under wildcards removed. 
//Some repeated domains have been consoliodated into unpublished wildcards in order to keep the file as small as possible.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    if ((shExpMatch(host, "*.adhybridhealth.azure.com"))
        || (shExpMatch(host, "*.api.microsoftstream.com"))  
        || (shExpMatch(host, "*.api.skype.com"))  
        || (shExpMatch(host, "*.asm.skype.com"))     
        || (shExpMatch(host, "*.assets-yammer.com"))
        || (shExpMatch(host, "*.azureedge.net"))   
        || (shExpMatch(host, "*.broadcast.skype.com"))
        || (shExpMatch(host, "*.cc.skype.com")) 
        || (shExpMatch(host, "*.cdn.skype.com")) 
        || (shExpMatch(host, "*.cloudapp.net")) 	
        || (shExpMatch(host, "*.config.skype.com")) 
        || (shExpMatch(host, "*.conv.skype.com"))
        || (shExpMatch(host, "*.crl.entrust.net"))
        || (shExpMatch(host, "*.dc.trouter.io"))
        || (shExpMatch(host, "*.digicert.com"))
        || (shExpMatch(host, "*.entrust.net")) 	        
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.giphy.com")) 
        || (shExpMatch(host, "*.globalsign.com"))
        || (shExpMatch(host, "*.helpshift.com")) 
        || (shExpMatch(host, "*.hockeyapp.net"))       							
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    	
        || (shExpMatch(host, "*.lync.com"))
        || (shExpMatch(host, "*.microsoft.com"))				
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))	
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))	
        || (shExpMatch(host, "*.msedge.net"))
        || (shExpMatch(host, "*.msg.skype.com")) 					
        || (shExpMatch(host, "*.msocdn.com"))
        || (shExpMatch(host, "*.notification.api.microsoftstream.com"))	
        || (shExpMatch(host, "*.ocsp.omniroot.com"))    			
        || (shExpMatch(host, "*.office365.com"))
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.office.com"))	
        || (shExpMatch(host, "*.office.net"))
        || (shExpMatch(host, "*.officeapps.live.com"))		 
        || (shExpMatch(host, "*.onenote.com"))				
        || (shExpMatch(host, "*.outlook.com"))	
        || (shExpMatch(host, "*.outlookgroups.ms"))  
        || (shExpMatch(host, "*.oaspapps.com"))
        || (shExpMatch(host, "*.pipe.skype.com")) 			
        || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.sfbassets.com"))  
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sharepoint.com"))	
        || (shExpMatch(host, "*.skypeforbusiness.com"))	
        || (shExpMatch(host, "*.streaming.mediaservices.windows.net"))	
        || (shExpMatch(host, "*.svc.ms")) 	
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))
        || (shExpMatch(host, "*.teams.skype.com"))
        || (shExpMatch(host, "*.users.storage.live.com"))
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))				
        || (shExpMatch(host, "*.windows.net"))	
        || (shExpMatch(host, "*.yammer.com"))	
        || (shExpMatch(host, "*.yammerusercontent.com"))         
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "aka.ms"))	
        || (shExpMatch(host, "ajax.aspnetcdn.com"))
        || (shExpMatch(host, "amp.azure.net"))	
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "c.bing.net"))
        || (shExpMatch(host, "cert.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "client.hip.live.com"))     
        || (shExpMatch(host, "config.edge.skype.com"))
        || (shExpMatch(host, "connect.facebook.net"))
        || (shExpMatch(host, "crl.identrust.com/DSTROOTCAX3CRL.crl"))	
        || (shExpMatch(host, "dc.services.visualstudio.com"))	
        || (shExpMatch(host, "eus-www.sway-cdn.com"))	
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "graph.skype.com"))
        || (shExpMatch(host, "hybridconfiguration.azurewebsites.net"))  
        || (shExpMatch(host, "isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com"))					
        || (shExpMatch(host, "management.azure.com"))
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "nps.onyx.azure.net"))   
        || (shExpMatch(host, "ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "ocsp.msocsp.com"))     
        || (shExpMatch(host, "ocsp.omniroot.com"))     
        || (shExpMatch(host, "officecdn.microsoft.com.edgesuite.net"))
        || (shExpMatch(host, "officecdn.microsoft.com.edgekey.net"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com"))
        || (shExpMatch(host, "pipe.skype.com"))	
        || (shExpMatch(host, "platform.linkedin.com"))								
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))				
        || (shExpMatch(host, "prod.registrar.skype.com")) 
        || (shExpMatch(host, "prod.tpc.skype.com")) 
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "s-0001.s-msedge.net")) 
        || (shExpMatch(host, "s-0004.s-msedge.net"))   
        || (shExpMatch(host, "s0.assets-yammer.com"))  
        || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "site-cdn.onenote.net"))
        || (shExpMatch(host, "skydrive.wns.windows.com"))
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))		
        || (shExpMatch(host, "ssw.live.com"))
        || (shExpMatch(host, "staffhub.ms))
        || (shExpMatch(host, "staffhub.uservoice.com"))    
        || (shExpMatch(host, "storage.live.com"))				
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))	
        || (shExpMatch(host, "tse1.mm.bing.net"))     
        || (shExpMatch(host, "web.microsoftstream.com"))     
        || (shExpMatch(host, "wus-www.sway-cdn.com"))						
        || (shExpMatch(host, "wus-www.sway-extensions.com"))        
        || (shExpMatch(host, "wu.client.hip.live.com"))     
        || (shExpMatch(host, "www.bing.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com")))



    {
        return proxyserver;
    }

        //Catchall for all other traffic to another proxy

    else return "PROXY 10.10.10.11:8080";
}

Ето още няколко инструмента от общността; ако сме създали нещо, което желаете да споделите, оставете бележка в коментарите. Споменатите в тази статия инструменти на общността не се поддържат официално от Microsoft и са дадени тук за ваше удобство.

  • Това е най-старият инструмент, създаден от общността за улесняване на управлението на процеса. Инструмент, създаден от член на общността на Office 365. Това са инструкциите, а оттук можете да го изтеглите.

  • Доказателство за концепцията с правила за защитна стена, които могат да се експортират: Microsoft Cloud IP API.

  • От IT Praktyk: Инструкции, RSS преобразуване и XML преобразуване.

  • От Peter Abele: Изтегляне.

  • Използвайте анализа на вашата мрежа, за да определите кои мрежови заявки трябва да заобикалят инфраструктурата на прокси сървъра. Най-често срещаните FQDN, използвани за заобикаляне на клиентски прокси сървъри, включват изброените по-долу поради обема на мрежовия трафик, изпращан и получаван от тези крайни точки.

    outlook.office365.com
    outlook.office.com
    <tenant-name>.sharepoint.com
    <tenant-name>-my.sharepoint.com
    <tenant-name>-<app>.sharepoint.com
    *.Lync.com
    
  • Уверете се, че всички мрежови заявки, изпращани директно към защитната ви стена, имат съответен запис в списъка с разрешени адреси на защитната стена, за да се позволи преминаването им.

Интегриране на ограничителна мрежа

Знаете ли, че Microsoft WAN е една от най-големите опорни мрежи в света?

Това е вярно – тази огромна мрежа е това, което прави Office 365 и нашите други услуги в облака работоспособни, независимо къде по света се намирате. Нашата мрежа се състои от висока пропускателна способност, ниско закъснение, връзки със способност за преместване при отказ с хиляди километри маршрути и връзки от тъмни влакна за много терабитове между центровете за данни и крайните възли – и всичко това, за да се улесни използването на нашите услуги в облака.

При мрежа като тази, вие искате устройствата на вашата организация да се свързват с нашата мрежа възможно най-скоро. При над 2500 равнопоставени връзки към интернет доставчици по целия свят и 70 точки на присъствие, преминаването от вашата мрежа към нашата би трябвало да бъде безпроблемно. Не вреди да отделите няколко минути, за да се уверите, че вашата равнопоставена връзки към интернет доставчик е оптимална – ето няколко примера на добро и не толкова добре подаване към нашата мрежа.

Можете ръчно или автоматично да конфигурирате устройствата във вашата мрежа, за да третирате оптимално мрежовите заявки на приложения на Office 365, в зависимост от вашето оборудване. От какви промени в конфигурацията се нуждаете, за да третирате оптимално мрежовия трафик на Office 365, ще зависи от вашата среда. Мрежовите заявки на Office 365 могат да се възползват от мрежовата конфигурации, което позволява следното:

  • Приоритет пред по-малко критичен мрежов трафик.

  • Маршрутизиране на локалния изходната точка, за да избегнете пренос през бавна WAN връзка, като се възползвате от ниското закъснение, предлагано в мрежата на Microsoft. Ето една добра дискусия, основаваща се на ангажименти към клиентите.

  • Използване на DNS близо до местна изходна точка, за да се гарантира, че заявката за мрежа, която напуска местната изходна точка, пристига в най-близката точка за достъп до Microsoft.

  • Изключване от задълбоченото инспектиране на пакети или друга интензивна мрежова обработка на пакети, за да се изпълнят изискванията за закъснение според мащаба.

Съвременните мрежови устройства включват възможности за управление на мрежови заявки за надеждни приложения, каквото е Office 365, по начин, различен от общия, ненадежден интернет трафик. При един възникващ пейзаж на SD-WAN решения, такова разграничаване на трафика и избиране на пътя може да бъде изпълнено с информираност за променящото се състояние на мрежата, например наличността в даден момент от време, закъснение или изпълнение на различни пътища за свързване между потребителя и облака.

Вижте Планиране на мрежа и миграция за Office 365, План за отстраняване на неизправности с производителността за Office 365 и Контролен списък за планиране на разполагането за Office 365 за допълнителни указания за планирането на конфигурацията на мрежата ви.

За изпълнение на този сценарий:

Проверете при вашия доставчик на мрежово решение или услуги дали те могат да използват URL и IP дефиниции на Office 365 от XML, за да се улесни локален изход на мрежата (към потребителя) с ниски разходи за трафик на Office 365, да управляват нейния приоритет спрямо другите приложения и да регулират мрежовия път за връзки на Office 365 в мрежата на Microsoft, в зависимост от променящите се условия на мрежата. Някои решения изтеглят и автоматизират дефиниция на XML файлове на URL и IP адреси на Office 365 в своите стекове.

Винаги осигурявайте изпълненото решение да има необходимата степента на устойчивост, подходящо географско дублиране на мрежовия път за трафика на Office 365 и съобразяване с промените в URL и IP адресите на Office 365, когато се публикуват такива.

Често задавани въпроси до администратори за свързването:

Щракнете върху връзката в долната част, за да укажете дали статията е била полезна, или подайте допълнителни въпроси. Ние следим обратната връзка и актуализираме въпросите тук с най-често задаваните.

Когато се обявят нови крайни точки, обикновено има буферен период от над 30 дни, преди те да влязат в сила и мрежовите заявки да започнат да се изпращат към тях. Този буферен период има за цел да гарантира, че клиентите и партньорите ще имат възможност да актуализират системите си. Добавянията и премахванията на FQDN и IP представки се обработват в XML файла едновременно с обявяването, което означава, че нов FQDN ще бъде включен в XML файла 30 дни преди употреба. Тъй като спираме да изпращаме мрежови заявки към крайните точки, които премахваме, преди да обявим тяхното премахване, когато премахнем крайна точка от XML файла, в момента на обявяването тя вече не се използва.

Крайните точки на Office 365 се публикуват в края на всеки месец с 30 дни предизвестие. Понякога ще промени възникват по-често от веднъж в месеца или с по-кратки периоди на предизвестие. Когато се добавя крайна точка, датата на влизане в сила, посочена в RSS канала, е датата, след която мрежовите заявки ще се изпращат към крайната точка. Ако сега започвате с RSS, ето как да се абонирате чрез Outlook, като също можете да получавате актуализациите в RSS канала по имейла.

След като се абонирате за RSS канала, можете да анализирате информацията сами или с помощта на скрипт. Таблицата по-долу описва какъв е форматът на RSS канала за улеснение.

Раздел

Част 1

Част 2

Част 3

Част 4

Част 5

Част 6

Описание

Брой

Дата, след която можете да очаквате мрежовите заявки да бъдат изпращани към крайната точка.

Основно описание на функцията или услугата, която изисква крайната точка.

Можете ли да се свързвате с тази крайна точка във верига на ExpressRoute в допълнение към интернет?

Да – можете да се свързвате с тази крайна точка както в интернет, така и в ExpressRoute.

Не – можете да се свързвате с тази крайна точка само в интернет.

FQDN или диапазон от IP адреси на местоназначението, които се добавят или премахват.

Пример

1/

[В сила от xx/xx/xxx.

Задължително: <описание>.

ExpressRoute:

<Да/Не>.

<FQDN/IP>],

Още няколко неща за отбелязване, всеки запис има общ набор от разделители:

  • / – след броя

  • [ – за указване на записа за броя

  • . – използва се след всеки отделен раздел на записа

  • ], – за обозначаване на края на един запис

  • ]. – за обозначаване на края на всички записи

Местоположението на клиента най-добре се определя чрез нашата карта на центрове за данни.

Местоположенията за равнопоставено свързване са описани по-подробно в равнопоставеното свързване с Microsoft.

При над 2500 равнопоставени връзки към интернет доставчици по целия свят и 70 точки на присъствие, преминаването от вашата мрежа към нашата би трябвало да бъде безпроблемно. Не вреди да отделите няколко минути, за да се уверите, че вашата равнопоставена връзки към интернет доставчик е оптимална – ето няколко примера на добро и не толкова добре подаване към нашата мрежа.

Приетите маршрути на ExpressRoute се определят от диапазони от IP адреси на Microsoft и конкретните Office 365BGP общности.

Редовно добавяме нови функции и услуги в пакета на Office 365, разширявайки пейзажа на свързване. Ако сте абонирани за ИЕ на план E3 или E5, простият начин да мислите за списъка с крайни точки е, че са ви необходими всички те, за да получите пълна функционалност за пакета. Ако не сте абонирани за нито една от тези ИЕ, разликата е минимална, що се отнася до броя на крайните точки.

В изображението по-долу можете да видите пример от част на таблицата с FQDN в раздела за Office Online. Редовете са организирани по функция и разлики в свързването. Първите два реда показват, че Office Online разчита на крайните точки, маркирани като задължителни в разделите "Удостоверяване и самоличност за Office 365" и "Портал и споделена инфраструктура". Типично е за услуга в рамките на Office 365 да разчита на тези споделени услуги. Третият ред показва, че клиентските компютри трябва да могат да достигат до *.officeapps.live.com, за да използват Office Online, а четвъртият ред показва, че компютрите трябва също да могат да достигат *.cdn.office.net, за да използват Office Online.

Макар че и третият, и четвъртият ред са необходими за използването на Office Online, те са отделени, за да се покаже, че местоназначението е различно:

  1. *.officeapps.live.com не представлява CDN, което означава, че заявките към това пространство на имена ще отидат директно към център за данни на Microsoft.

  2. Достъп до *.officeapps.live.com може да се осъществява във вериги на ExpressRoute чрез равноправно свързване с Microsoft.

  3. Можете да намерите IP адресите, свързани с Office Online и *.officeapps.live.com, като следвате тази връзка.

  4. *.cdn.office.net представлява CDN, хоствана от Akamai, което означава, че заявките към това пространство на имена ще отидат към център за данни на Akamai.

  5. Достъп до *.cdn.office.net не може да се осъществява във вериги на ExpressRoute.

  6. IP адресите, свързани с Office Online и *.cdn.office.net, не са достъпни.

Екранна снимка на страницата за крайни точки

Предоставяме само IP адреси за сървърите на Office 365, които трябва да се маршрутизират директно към интернет или ExpressRoute. Това не е изчерпателен списък на всички IP адреси, за които ще видите мрежови заявки. Ще видите мрежови заявки до Microsoft и до непубликувани IP адреси на други доставчици. Тези IP адреси се генерират динамично или се управляват по начин, който не позволява своевременно предизвестяване, когато те се променят. Ако вашата защитна стена не може да разрешава достъп въз основа на FQDN за тези мрежови заявки, използвайте PAC или WPAD файл, за да управлявате заявките.

Виждате ли IP адрес, свързан с Office 365, за който искате повече информация?

  1. Проверете дали IP адресът е включен в публикувания диапазон, като използвате един по-голям калкулатор за CIDR.

  2. Вижте дали собственик на IP адреса е партньор със заявка whois. Ако той е собственост на Microsoft, това може да е вътрешен партньор.

  3. Проверете сертификата, в браузър отидете на IP адреса, като използвате HTTPS://<IP_АДРЕС>, проверете домейните в списъка на сертификата, за да разберете какви домейни са свързани с IP адреса. Ако е IP адрес, собственост на Microsoft, и не е в списъка с IP адреси на Office 365, вероятно IP адресът е свързан с CDN мрежа на Microsoft, например MSOCDN.NET или друг домейн на Microsoft, без да е публикувана информация за IP адреса. Ако установите, че домейнът в сертификата е от типа, за който твърдим, че показва IP адреса, уведомете ни.

Office 365 и други услуги на Microsoft използват няколко услуги на други разработчици, например Akamai и MarkMonitor, за да подобрят работата ви в Office 365. За да продължим да ви предоставяме възможно най-добрата среда на работа, можем да променим тези услуги в бъдеще. При това ние често публикуваме CNAME записа, който сочи към домейн, притежаван от трето лице, A запис или IP адрес. Домейни на трети лица може да не хостват съдържание като CDN или да хостват услуга, като например услуга за управление на географски трафик. Когато видите връзки към тези трети лица, те са във вид на пренасочване или препращане, а не са първоначална заявка от клиента. Някои клиенти трябва да гарантират тази форма на препращане и пренасочване, през която е позволено да се преминава, без изрично да добавят дълъг списък с потенциални FQDN, които услугите на външни доставчици може да използват.

Списъкът с услуги може да бъде променян по всяко време. Някои от услугите, които се използват в момента, включват:

MarkMonitor се използва, когато видите заявки, които включват *.nsatc.net. Тази услуга предоставя защита на името на домейна и следене за защита срещу злонамерени действия.

ExactTarget се използва, когато видите заявки към *.exacttarget.com. Тази услуга предоставя управление на имейл връзките и следене за защита срещу злонамерени действия.

Akamai се използва, когато видите заявки, които съдържат един от следните FQDN. Тази услуга предлага геопространствени DNS и мрежови услуги за доставка на съдържание.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

  • Свързвате се към услуги на други разработчици за извличане на основни интернет услуги, като търсене на DNS и извличане на съдържание на CDN мрежи. Свързвате се към услуги на други разработчици също и за интегриране, например внедряване на видеоклипове от YouTube във вашите бележници на OneNote.

  • Свързвате се към допълнителни услуги, хоствани и управлявани от Microsoft, например крайни възли, които позволяват на мрежовите ви заявки да влязат в глобалната мрежа на Microsoft от най-близкото до вашия компютър място с достъп до интернет. Като трета по големина мрежа на планетата, това подобрява възможностите ви за свързване. Свързвате се също с услуги на Microsoft Azure, като мултимедийните услуги на Azure, които се използват от различни услуги на Office 365.

  • Свързвате се също с основни услуги на Office 365, например пощенския сървър на Exchange Online или сървъра на Skype за бизнеса онлайн, където се намират вашите уникални и фирмени данни. Можете да се свържете с основните услуги на Office 365 с FQDN или IP адрес и да използвате интернет или ExpressRoute мрежи. Можете да се свържете с услугите от други разработчици и допълнителните услуги само чрез FQDN в интернет мрежа.

Следващата диаграма показва разликите между тези области на услугата. В тази диаграма клиентската локална мрежа в долния ляв ъгъл има множество мрежови устройства, които да помагат в управлението на мрежовата връзка. Конфигурации като тази са стандартни за корпоративни клиенти. Ако мрежата ви има само защитна стена между клиентските компютри и интернет, тя също се поддържа и трябва да се уверите, че защитната ви стена може да поддържа FQDN и заместващи символи в правилата за списъци с разрешени адреси.

Показва трите различни типа крайни точки на мрежата, когато се използва Office 365

Office 365 е пакет от услуги, които са създадени, за да функционират в интернет. Обещанията за надеждност и достъпност са въз основа на наличността на много стандартни интернет услуги. Например стандартните интернет услуги като DNS, CRL и CDN трябва да бъдат достъпни, за да се използва Office 365, по същия начин, по който трябва да са достъпни, за да се използват повечето модерни интернет услуги.

Освен тези основни интернет услуги има и услуги от други разработчици, които се използват само за интегриране на функционалността. Например използването на Giphy.com в рамките на Microsoft Teams позволява на клиентите безпроблемно да включват GIF файлове в рамките на Teams. По подобен начин YouTube и Flickr са услуги от други доставчици, които се използват за безпроблемно интегриране на видеоклипове и изображения в клиенти на Office от интернет. Въпреки че са необходими за интегриране, те се маркират като незадължителни в статията за крайни точки на Office 365, което означава, че основната функционалност на услугата ще продължи да работи, ако крайната точка не е достъпна.

Ако се опитвате да използвате Office 365 и установявате, че услуги на други разработчици не са достъпни, трябва да се уверите, че всички FQDN, които са маркирани като задължителни или незадължителни в тази статия, са разрешени през прокси сървъра и защитната стена.

Допълнителните услуги са услуги на Microsoft, които не попадат в контрола на Office 365. Това са неща като гранична мрежа, мултимедийни услуги на Azure и мрежи за доставяне на съдържание на Azure. Всички те са необходими, за да използвате Office 365, и трябва да бъдат достъпни.

Ако се опитвате да използвате Office 365 и установявате, че услуги на други разработчици не са достъпни, трябва да се уверите, че всички FQDN, които са маркирани като задължителни или незадължителни в тази статия, са разрешени през прокси сървъра и защитната стена.

Ограничаването на достъпа до нашите потребителски услуги трябва да се направи на собствена отговорност. Единственият сигурен начин да блокирате потребителските услуги е да ограничите достъпа до FQDN-а login.live.com. Това FQDN се използва от широк набор от услуги, включително непотребителски услуги, например MSDN, TechNet и други. Ограничаване на достъпа до това FQDN може да доведе до необходимостта да се включат изключения към правилото за мрежови заявки, свързани с тези услуги.

Имайте предвид, че самото блокиране на достъпа до потребителските услуги на Microsoft няма да попречи на възможността някой във вашата мрежа да извлече информация с помощта на клиент на Office 365 или друга услуга.

Вж. също

Диапазони от IP адреси за център за данни на Microsoft Azure

Публично пространство от IP адреси на Microsoft

Изисквания към мрежовата инфраструктура за Microsoft Intune

Power BI и ExpressRoute

Диапазони от URL и IP адреси за Office 365

Управляване на ExpressRoute за свързване на Office 365

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към участниците в Office Insider

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×