ExpressRoute pro Office 365 – správa možností připojení

ExpressRoute pro Office 365 nabízí alternativní způsob směrování, který umožňuje přístup k mnoha službám Office 365, aniž by bylo nutné využívat pro všechny přenosy internet. Přestože internetové připojení k Office 365 je i nadále potřeba, konkrétní trasy, které Microsoft inzeruje pro vaši síť prostřednictvím protokolu BGP, upřednostňují přímý okruh ExpressRoute, pokud není vaše síť nakonfigurovaná jinak. Tři obecné oblasti, které můžete chtít nakonfigurovat k zajištění správy tohoto směrování, zahrnují filtrování, zabezpečení a dodržování předpisů.

Poznámka : Společnost Microsoft změnila způsob, jakým je doména směrování pro partnerské uzly Microsoft kontrolována pro Azure ExpressRoute. Od 31. července 2017 můžou všichni zákazníci Azure ExpressRoute povolit partnerské uzly Microsoft přímo z konzoly pro správu Azure nebo pomocí PowerShellu. Po povolení partnerských uzlů Microsoft si může každý zákazník vytvořit filtry tras a přijímat inzerování tras protokolu BGP pro aplikace Dynamics 365 Customer Engagement (dříve CRM Online). U zákazníků, kteří potřebují Azure ExpressRoute pro Office 365, musí Microsoft před vytvořením filtrů tras pro Office 365 provést kontrolu. Kontaktujte prosím tým, který se stará o účty Microsoft, a zjistěte, jak požádat o kontrolu pro povolení Office 365 ExpressRoute. Neoprávněným předplatným se při pokusu o vytvoření filtrů tras pro Office 365 zobrazí chybová zpráva.

Filtrování předpon

Microsoft doporučuje, aby zákazníci přijímali všechny trasy protokolu BGP inzerované Microsoftem. Poskytované trasy prochází přísným procesem kontroly a ověřování, a další přidaná kontrola tak neposkytuje žádné výhody. ExpressRoute nativně nabízí doporučené kontrolní postupy, například pro vlastnictví předpon IP adres, integritu a škálování – bez filtrování příchozích tras na straně zákazníka.

Pokud požadujete další ověřování vlastnictví tras u veřejných partnerských vztahů ExpressRoute, můžete kontrolovat inzerované trasy proti seznamu všech předpon IP adres IPv4 a IPv6, které představují veřejné rozsahy IP adres Microsoftu. Tyto rozsahy pokrývají celý adresní prostor Microsoftu a často se nemění. Poskytují proto spolehlivou sadu rozsahů, proti které je možné filtrovat, a poskytují také další ochranu zákazníkům, kteří se obávají, že se do jejich prostředí dostanou trasy, které nevlastní Microsoft. V případě, že dojde ke změně, se tato změna provede 1. den v měsíci a číslo verze na stránce v části podrobností se změní pokaždé, když se seznam zaktualizuje.

Existuje několik důvodů, proč nepoužívat adresy URL a rozsahy IP adres v Office 365 ke generování seznamů filtrů předpon. Například tyto:

  • Předpony IP adres v Office 365 se často a hodně mění.

  • Adresy URL a rozsahy IP adres v Office 365 jsou navrženy pro správu seznamů povolených adres v bránách firewall a pro infrastrukturu proxy serverů, nikoli pro směrování.

  • Adresy URL a rozsahy IP adres v Office 365 nepokrývají jiné služby Microsoftu, které mohou být součástí vašich připojení ExpressRoute.

Možnost

Složitost

Kontrola změn

Přijetí všech tras z Microsoftu

Nízká: Zákazník spoléhá na kontrolní postupy Microsoftu, které zajistí, že jsou všechny trasy v odpovídajícím vlastnictví.

Žádná

Filtrování sítí ve vlastnictví Microsoftu

Střední: Zákazník implementuje souhrnné seznamy filtrů předpon, aby byly povolené jenom trasy ve vlastnictví Microsoftu.

Zákazníci musí zajistit, aby se občasné aktualizace těchto seznamů odrazily ve filtrech směrování.

Filtrování rozsahu IP adres v Office 365

Upozornění : Nedoporučuje se

Vysoká: Zákazník filtruje trasy na základě definovaných předpon IP adres v Office 365.

Zákazníci musí implementovat robustní proces řízení změn pro měsíční aktualizace.

Upozornění : Toto řešení vyžaduje významné průběžné změny. Změny, které se neimplementují včas, pravděpodobně způsobí výpadek služby.

Připojení k Office 365 pomocí služby Azure ExpressRoute je založeno na inzerování určitých IP podsítí protokolem BGP, které tvoří sítě tam, kde jsou nasazeny koncové body Office 365. Vzhledem ke globální povaze Office 365 a počtu služeb Office 365 musí zákazníci často provádět správu inzerovaných tras, které ve své síti přijmou. Pokud máte obavy z počtu předpon inzerovaných do vašeho prostředí, můžete pomocí funkce BGP komunita filtrovat inzerování pro konkrétní sadu služeb Office 365. Tato funkce je teď ve verzi Preview.

Bez ohledu na to, jak spravujete inzerování tras protokolu BGP z Microsoftu, nezískáte ve srovnání s připojením k Office 365 pomocí internetového okruhu žádný zvláštní přístup ke službám Office 365. Microsoft zachovává stejnou úroveň zabezpečení, dodržování předpisů a výkonu bez ohledu na typ okruhu, který zákazník používá pro připojení k Office 365.

Zabezpečení

Microsoft doporučuje, abyste udržovali kontrolní postupy pro svou vlastní síť a místní zabezpečení u připojení využívajících veřejné trasy ExpressRoute a partnerské uzly Microsoftu včetně připojení pro komunikaci se službami Office 365. Kontrolní postupy zabezpečení by měly být aplikovány u síťových požadavků, které odchází z vaší sítě do sítě Microsoftu nebo přichází ze sítě Microsoftu do vaší sítě.

Odchozí požadavky od zákazníků do Microsoftu

Když se počítače připojují k Office 365, připojují se ke stejné sadě koncových bodů bez ohledu na to, jestli je připojení uskutečněné přes internet nebo pomocí okruhu ExpressRoute. Bez ohledu na použitý okruh Microsoft doporučuje, abyste služby Office 365 považovali ve srovnání s obecnými internetovými cíli za důvěryhodnější. Kontrolní postupy zabezpečení pro odchozí požadavky by se měly zaměřit na porty a protokoly s cílem omezit jejich vystavení a minimalizovat průběžnou údržbu. Vyžadované informace o portech jsou pro referenci dostupné v článku Koncové body v Office 365.

Jako další kontrolní postup můžete použít filtrování na úrovni plně kvalifikovaných názvů domén v rámci infrastruktury proxy serveru, pomocí kterého můžete omezit nebo kontrolovat některé nebo veškeré síťové požadavky cílené do internetu nebo Office 365. Správa seznamu plně kvalifikovaných názvů domén, zatímco jsou publikovány další funkce a mění se nabídka možností Office 365, vyžaduje robustnější řízení změn a sledování změn u publikovaných koncových bodů Office 365.

Upozornění : Microsoft doporučuje, abyste se při správě zabezpečení odchozích požadavků do Office 365 nespoléhali jenom na předpony IP adres.

Možnost

Složitost

Kontrola změn

Bez omezení

Nízká: Zákazník povoluje neomezený přístup u odchozích požadavků do Microsoftu.

Žádná

Omezení u portů

Nízká: Zákazník omezuje přístup u odchozích požadavků do Microsoftu u předpokládaných portů.

Občasná

Omezení na úrovni plně kvalifikovaných názvů domén

Vysoká: Zákazník omezuje přístup k Office 365 u odchozích požadavků na základě publikovaných plně kvalifikovaných názvů domén.

Měsíční změny

Příchozí požadavky z Microsoftu k zákazníkům

Existuje několik volitelných scénářů, které vyžadují, aby Microsoft inicioval připojení k vaší síti.

Microsoft doporučuje, abyste tato připojení kvůli snížení složitosti přijímali pomocí internetového okruhu místo okruhu ExpressRoute. Pokud kvůli dodržování předpisů nebo z hlediska výkonu potřebujete tato příchozí připojení přijímat prostřednictvím okruhu ExpressRoute, doporučujeme pro vymezení přijímaných připojení používat bránu firewall nebo reverzní proxy server. K určení odpovídajících plně kvalifikovaných názvů domén a předpon IP adres můžete použít koncové body Office 365.

Dodržování předpisů

U žádných z našich kontrol dodržování předpisů se nespoléháme na trasu směrování, kterou používáte. Je jedno, jestli se ke službám Office 365 připojujete pomocí okruhu ExpressRoute nebo internetového okruhu. Naše kontroly dodržování předpisů se nemění. Měli byste posoudit různé úrovně dodržování předpisů a certifikace zabezpečení pro Office 365 a určit tak, co je pro potřeby vaší organizace nejlepší.

Vrátit se můžete pomocí tohoto odkazu: https://aka.ms/manageexpressroute365.

Příbuzná témata

Sítě pro doručování obsahu
Adresy URL a rozsahy IP adres pro Office 365
Správa koncových bodů Office 365
Školicí kurz Azure ExpressRoute pro Office 365

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojte se k účastníkům programu Office Insiders

Byly tyto informace užitečné?

Děkujeme vám za zpětnou vazbu.

Děkujeme vám za váš názor. Vypadá to, že bude užitečné, když vás spojíme s některým z našich agentů z podpory Office.

×