Správa koncových bodů Office 365

Připojení k síti Office 365

4. 10. 2017 Připojení k Office 365 obsahují velký počet požadavků do důvěryhodné sítě. Předpokladem nejlepšího výkonu je výchozí přenos s nízkou latencí v blízkosti uživatele. U některých připojení k Office 365 může být výhodná optimalizace připojení.

  1. Je potřeba zajistit, aby seznamy povolení brány firewall povolovaly připojení ke koncovým bodům Office 365.

  2. Prostřednictvím své proxy infrastruktury povolte internetové připojení k cílům se zástupnými znaky a nepublikovaným cílům.

  3. Udržujte optimální konfiguraci hraniční sítě.

Připojení k Office 365 prostřednictvím bran firewall a proxy serverů

Aktualizace seznamů povolených koncových bodů brány firewall pro odchozí připojení

Síť můžete optimalizovat tím, že všechny požadavky do důvěryhodné sítě Office 365 pošlete přímo přes bránu firewall, takže obejdete všechny další kontroly nebo zpracování na úrovni paketů. Zvýšíte tak nízký výkon způsobený latencí a snížíte požadavky na kapacitu hraniční sítě. Požadavky do sítě, které jsou důvěryhodné, zjistíte nejsnadněji pomocí našich předem připravených souborů PAC na výše uvedené kartě Proxy servery.

Pokud vaše brána firewall blokuje odchozí přenosy, budete muset zajistit, aby byly všechny IP adresy a plně kvalifikované názvy domén uvedené jako povinné v tomto souboru XML na seznamu povolených položek. Identifikujte všechny služby vyžadující použití některých služeb třetích stran. Pro služby třetích stran, jako jsou poskytovatelé certifikátů, sítě CDN, poskytovatelé DNS atd., neposkytujeme IP adresy. Aby mohla být zajištěna plná funkčnost Office 365, musí být pro vás dostupné všechny cíle, které požaduje Office 365, a to bez ohledu na to, kolik o jednotlivých cílech publikujeme informací.

Mnoho cílů nemá publikované IP adresy nebo jsou uvedené jako doména se zástupnými znaky bez konkrétního plně kvalifikovaného názvu domény. Abyste mohli využívat tuto funkci, musíte být schopni vyřešit tyto síťové požadavky na aktuální požadovanou IP adresu a odeslat síťový požadavek přes internet.

Automatizujte proces pomocí brány firewall, která tento soubor XML analyzuje za vás a aktualizuje vaše pravidla automaticky na základě služeb nebo funkcí, které plánujete směrovat přímo prostřednictvím své brány firewall. Můžete také použít komunitou vytvořený nástroj Azure Range, který analyzuje tento soubor XML a obsahuje možnosti exportu pro Cisco XE Route nebo konfiguraci seznamu ACL, prostý text nebo formát CSV.

Podrobnější vysvětlení síťových cílů je dostupné na našem referenčním webu a prostřednictvím protokolu změn ve formátu RSS, jehož změny můžete odebírat.

Konfigurace odchozích cest pomocí souborů PAC

Soubory PAC nebo WPAD použijte ke správě síťových požadavků, které jsou přidružené k Office 365, ale nemají poskytnutou adresu IP. U síťových požadavků posílaných prostřednictvím proxy serveru nebo hraničního zařízení obvykle vzniká další latence. Vzhledem k tomu, že nejvíce prostředků spotřebuje ověřování proxy serveru, může se zhoršit kvalita ostatních služeb, jako jsou vyhledávání reputace a pokusy kontrolovat pakety. Tato hraniční síťová zařízení také musí mít dostatečnou kapacitu, aby dokázala zpracovat všechny síťové požadavky. Proto u přímých síťových požadavků Office 365 doporučujeme obejít proxy server i kontrolní infrastrukturu.

K prvotnímu určení toho, jaký síťový přenos se bude odesílat na proxy server a jaký na bránu firewall, použijte jeden z našich souborů PAC. Pokud jste se soubory PAC nebo WPAD ještě nepracovali, přečtěte si tento příspěvek o nasazování souborů PAC od jednoho z našich konzultantů na Office 365. Začněte tím, že si přečtete tyto informace a přizpůsobíte si je tak, aby vyhovovaly vašemu prostředí.

Soubory PAC byly aktualizovány 4. 10. 2017.

První příklad je ukázka námi doporučovaného postupu, jak spravovat koncové body jenom přes internet. Obchází proxy server pro cíle Office 365, jejichž IP adresa je publikovaná, a zbývající síťové požadavky odesílá na proxy server.

Fragment kódu:

// JavaScript source code

October 2017 - Updates go live 1st Nov 2017
//This PAC file contains all FQDNs needed for all services and splits the traffic between those which Microsoft can provide IPs for (so can be sent through a managed firewall with conditional access) and those which IPs cannot be provided for, so need to go to an unrestricted proxy or egress. 
//Due to the use of wildcards, some extra logic is provided to send traffic to the proxy before a 'direct' wildcard is hit.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    var proxyserver2 = "PROXY 10.10.10.11:8080"
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    //Catch explicit FQDNs which need the proxy but are covered under wildcarded FQDNs which have IPs. This has to be done first before the wildcard is hit

    if ((shExpMatch(host, "browser.pipe.aria.microsoft.com")) 
        || (shExpMatch(host, "compliance.outlook.com"))       
        || (shExpMatch(host, "mobile.pipe.aria.microsoft.com"))
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "r1.res.office365.com")) 
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "r3.res.outlook.com"))
        || (shExpMatch(host, "xsi.outlook.com")))

    {
        return proxyserver;
    }
        //Send FQDNs which Microsoft provide IPs for direct, so they can be sent via a firewall

    else if ((isPlainHostName(host))
    || (shExpMatch(host, "*.asm.skype.com"))
    || (shExpMatch(host, "*.broadcast.skype.com"))
    || (shExpMatch(host, "*.cc.skype.com"))
    || (shExpMatch(host, "*.config.skype.com"))
    || (shExpMatch(host, "*.conv.skype.com"))
    || (shExpMatch(host, "*.dc.trouter.io"))
    || (shExpMatch(host, "*.infra.lync.com"))
    || (shExpMatch(host, "*.lync.com"))
    || (shExpMatch(host, "*.msg.skype.com"))
    || (shExpMatch(host, "*.office365.com"))
    || (shExpMatch(host, "*.outlook.com"))
    || (shExpMatch(host, "*.outlook.office.com"))
    || (shExpMatch(host, "*.pipe.aria.microsoft.com"))
    || (shExpMatch(host, "*.pipe.skype.com"))
    || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
    || (shExpMatch(host, "*.protection.office.com"))
    || (shExpMatch(host, "*.sharepoint.com"))
    || (shExpMatch(host, "*.skypeforbusiness.com"))
    || (shExpMatch(host, "*.svc.ms"))
    || (shExpMatch(host, "*.teams.microsoft.com"))
    || (shExpMatch(host, "*.teams.skype.com"))
    || (shExpMatch(host, "*.yammer.com"))
    || (shExpMatch(host, "*.yammerusercontent.com"))
    || (shExpMatch(host, "*broadcast.officeapps.live.com"))
    || (shExpMatch(host, "*excel.officeapps.live.com"))
    || (shExpMatch(host, "*onenote.officeapps.live.com"))
    || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
    || (shExpMatch(host, "*view.officeapps.live.com"))
    || (shExpMatch(host, "*visio.officeapps.live.com"))
    || (shExpMatch(host, "*word-edit.officeapps.live.com"))
    || (shExpMatch(host, "*word-view.officeapps.live.com"))    
    || (shExpMatch(host, "account.office.net"))
    || (shExpMatch(host, "adminwebservice.microsoftonline.com"))
    || (shExpMatch(host, "agent.office.net"))
    || (shExpMatch(host, "apc.delve.office.com"))
    || (shExpMatch(host, "api.login.microsoftonline.com"))
    || (shExpMatch(host, "aus.delve.office.com"))
    || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))    
    || (shExpMatch(host, "can.delve.office.com"))
    || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
    || (shExpMatch(host, "ccs.login.microsoftonline.com"))
    || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
    || (shExpMatch(host, "clientlog.portal.office.com"))
    || (shExpMatch(host, "config.edge.skype.com"))
    || (shExpMatch(host, "controls.office.com"))
    || (shExpMatch(host, "cus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "delve.office.com"))
    || (shExpMatch(host, "device.login.microsoftonline.com"))    
    || (shExpMatch(host, "ea-000.tasks.osi.office.net"))
    || (shExpMatch(host, "eus-zzz.tasks.osi.office.net"))
    || (shExpMatch(host, "gbr.delve.office.com"))
    || (shExpMatch(host, "hip.microsoftonline-p.net"))
    || (shExpMatch(host, "hipservice.microsoftonline.com"))
    || (shExpMatch(host, "home.office.com"))
    || (shExpMatch(host, "ind.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "kor.delve.office.com"))
    || (shExpMatch(host, "lam.delve.office.com"))
    || (shExpMatch(host, "login.microsoft.com"))
    || (shExpMatch(host, "login.microsoftonline.com"))
    || (shExpMatch(host, "login.microsoftonline-p.com"))
    || (shExpMatch(host, "login.windows.net"))
    || (shExpMatch(host, "logincert.microsoftonline.com"))
    || (shExpMatch(host, "loginex.microsoftonline.com"))
    || (shExpMatch(host, "login-us.microsoftonline.com"))     
    || (shExpMatch(host, "nam.delve.office.com"))
    || (shExpMatch(host, "neu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "nexus.microsoftonline-p.com"))
    || (shExpMatch(host, "nexus.officeapps.live.com"))
    || (shExpMatch(host, "nexusrules.officeapps.live.com"))
    || (shExpMatch(host, "pipe.skype.com"))
    || (shExpMatch(host, "portal.microsoftonline.com"))
    || (shExpMatch(host, "portal.office.com"))
    || (shExpMatch(host, "prod.registrar.skype.com"))
    || (shExpMatch(host, "prod.tpc.skype.com"))
    || (shExpMatch(host, "provisioningapi.microsoftonline.com"))
    || (shExpMatch(host, "s-0001.s-msedge.net"))
    || (shExpMatch(host, "s-0004.s-msedge.net"))
    || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net"))   
    || (shExpMatch(host, "sea-000.tasks.osi.office.net"))    
    || (shExpMatch(host, "signup.microsoft.com"))
    || (shExpMatch(host, "stamp2.login.microsoftonline.com"))
    || (shExpMatch(host, "suite.office.net"))    
    || (shExpMatch(host, "tasks.office.com"))
    || (shExpMatch(host, "teams.microsoft.com"))
    || (shExpMatch(host, "testconnectivity.microsoft.com"))
    || (shExpMatch(host, "weu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "wus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "www.office.com"))
    || (shExpMatch(host, "www.sway.com")))
      
    {
        return "DIRECT";
    }
    else

        // Send all unknown IP traffic to Proxy for unrestricted access. This section is not necessary if you have a catchall for all other traffic to go to an unfiltered proxy. 
        //However the fqdns required, but for which we dont have IPs for, are listed here incase you need an explicit list.

    if ((shExpMatch(host, "*.aadrm.com")) 
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "*.adhybridhealth.azure.com"))    
        || (shExpMatch(host, "*.api.microsoftstream.com"))   
        || (shExpMatch(host, "*.api.skype.com"))
        || (shExpMatch(host, "*.assets-yammer.com"))   
        || (shExpMatch(host, "*.azurerms.com")) 
        || (shExpMatch(host, "*.azureedge.net"))            
        || (shExpMatch(host, "*.cloudapp.net")) 
        || (shExpMatch(host, "*.entrust.net")) 
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.helpshift.com"))   
        || (shExpMatch(host, "*.hockeyapp.net"))    
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    
        || (shExpMatch(host, "*.microsoft.com"))
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))
        || (shExpMatch(host, "*.msedge.net"))      
        || (shExpMatch(host, "*.msocdn.com"))   
        || (shExpMatch(host, "*.office.com"))   
        || (shExpMatch(host, "*.office.net")) 
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.secure.skypeassets.com"))  
        || (shExpMatch(host, "*.sfbassets.com"))
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))     
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))
        || (shExpMatch(host, "*.windows.net"))
        || (shExpMatch(host, "ad.atdmt.com")) 
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "ajax.aspnetcdn.com")) 
        || (shExpMatch(host, "aka.ms"))
        || (shExpMatch(host, "amp.azure.net")) 
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "broadcast.skype.com")) 
        || (shExpMatch(host, "cacerts.digicert.com"))        
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "compliance.outlook.com"))   
        || (shExpMatch(host, "connect.facebook.net"))        
        || (shExpMatch(host, "crl.globalsign.com"))
        || (shExpMatch(host, "crl3.digicert.com"))  
        || (shExpMatch(host, "crl4.digicert.com")) 
        || (shExpMatch(host, "dc.services.visualstudio.com")) 
        || (shExpMatch(host, "domains.live.com"))
        || (shExpMatch(host, "ecn.dev.virtualearth.net "))   
        || (shExpMatch(host, "eus-www.sway-cdn.com"))
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "eur.delve.office.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "firstpartyapps.oaspapps.com")) 
        || (shExpMatch(host, "graph.skype.com"))   
        || (shExpMatch(host, "groupsapi2-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi3-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi4-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi-prod.outlookgroups.ms")) 
        || (shExpMatch(host, "latest-swx.cdn.skype.com")) 
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com")) 
        || (shExpMatch(host, "management.azure.com"))        
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "ocsp.globalsign.com"))
        || (shExpMatch(host, "ocsp.msocsp.com"))       
        || (shExpMatch(host, "ocsp2.globalsign.com"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com")) 
        || (shExpMatch(host, "pipe.skype.com")) 
        || (shExpMatch(host, "platform.linkedin.com"))
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))
        || (shExpMatch(host, "prod.firstpartyapps.oaspapps.com.akadns.net")) 
        || (shExpMatch(host, "r1.res.office365.com"))
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "s.ytimg.com")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "secure.aadcdn.microsoftonline-p.com"))
        || (shExpMatch(host, "secure.globalsign.com")) 
        || (shExpMatch(host, "site-cdn.onenote.net")) 
        || (shExpMatch(host, "skydrive.wns.windows.com")) 
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))   
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))  
        || (shExpMatch(host, "staffhub.ms"))
        || (shExpMatch(host, "staffhub.uservoice.com")) 
        || (shExpMatch(host, "sway.com"))              
        || (shExpMatch(host, "swx.cdn.skype.com"))  
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))         
        || (shExpMatch(host, "telemetryservice.firstpartyapps.oaspapps.com"))    
        || (shExpMatch(host, "web.microsoftstream.com"))         
        || (shExpMatch(host, "wus-firstpartyapps.oaspapps.com"))  
        || (shExpMatch(host, "wus-www.sway-cdn.com"))
        || (shExpMatch(host, "wus-www.sway-extensions.com"))   
        || (shExpMatch(host, "xsi.outlook.com"))
        || (shExpMatch(url, "http://apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(url, "http://cert.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://crl.identrust.com/DSTROOTCAX3CRL.crl"))
        || (shExpMatch(url, "http://isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(url, "http://ocsp.digicert.com"))
        || (shExpMatch(url, "http://ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://ocsp.msocsp.com"))
        || (shExpMatch(url, "http://ocspx.digicert.com"))   
        || (shExpMatch(url, "https://assets.onestore.ms/cdnfiles/external/"))   
        || (shExpMatch(url, "https://cdn.optimizely.com/js/"))  
        || (shExpMatch(url, "https://nps.onyx.azure.net"))
        || (shExpMatch(url, "https://web.localytics.com/v3/localytics.js"))  
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertGlobalRootCA.crt"))
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertHighAssuranceEVRootCA.crt"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com"))
        || (shExpMatch(host, "www.youtube.com")))
        

    {
        return proxyserver;
    }

    //Catchall for all other traffic to another proxy 

else return proxyserver;
}

Druhý příklad je ukázka námi doporučovaného postupu, jak spravovat připojení, když jsou k dispozici okruhy ExpressRoute a internetu. Odesílá inzerované cíle ExpressRoute do okruhu ExpressRoute a čistě internetové inzerované cíle na proxy server.

Fragment kódu:

// JavaScript source code
//October2017 Update
// Consolidated FQDNs of URLS which are reachable via Microsoft peering over ExpressRoute. All other traffic sent to a proxy in this example. 
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your traffic flow needs and the Office 365 URL & IP page. 
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;
    //SUB-FQDNs of ExpressRoutable wildcards which need to be explicitly sent to the proxy at the top of the PAC because they arent ER routable
    if ((shExpMatch(host, "*.click.email.microsoftonline.com"))
        || (shExpMatch(host, "*.portal.microsoftonline.com")))					
    {
        return proxyserver;
    }
        //EXPRESS ROUTE DIRECT
    else if ((isPlainHostName(host))
            || (shExpMatch(host, "*.asm.skype.com"))
            || (shExpMatch(host, "*broadcast.officeapps.live.com"))
            || (shExpMatch(host, "*.cc.skype.com"))
            || (shExpMatch(host, "*.config.skype.com"))    
            || (shExpMatch(host, "*.conv.skype.com"))
            || (shExpMatch(host, "*.dc.trouter.io"))
            || (shExpMatch(host, "*excel.officeapps.live.com"))
            || (shExpMatch(host, "*.lync.com"))	
            || (shExpMatch(host, "*.microsoftonline.com"))
            || (shExpMatch(host, "*.msg.skype.com"))
            || (shExpMatch(host, "*onenote.officeapps.live.com"))
            || (shExpMatch(host, "*.outlook.office.com"))
            || (shExpMatch(host, "*.pipe.skype.com")) 
            || (shExpMatch(host, "*.pipe.aria.microsoft.com")) 
            || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
            || (shExpMatch(host, "*.protection.office.com"))
            || (shExpMatch(host, "*.protection.outlook.com"))						
            || (shExpMatch(host, "*.sharepoint.com")) 
            || (shExpMatch(host, "*.skypeforbusiness.com")) 
            || (shExpMatch(host, "*.svc.ms"))   
            || (shExpMatch(host, "*.teams.microsoft.com"))  
            || (shExpMatch(host, "*.teams.skype.com"))  
            || (shExpMatch(host, "*view.officeapps.live.com"))                                 
            || (shExpMatch(host, "*visio.officeapps.live.com"))
            || (shExpMatch(host, "*word-view.officeapps.live.com"))
            || (shExpMatch(host, "*word-edit.officeapps.live.com"))	
            || (shExpMatch(host, "autodiscover-*.outlook.com"))				
            || (shExpMatch(host, "apc.delve.office.com"))
            || (shExpMatch(host, "aus.delve.office.com"))
            || (shExpMatch(host, "account.office.net"))
            || (shExpMatch(host, "agent.office.net"))  
            || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))  
            || (shExpMatch(host, "can.delve.office.com")) 
            || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
            || (shExpMatch(host, "ccs.login.microsoftonline.com"))  
            || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
            || (shExpMatch(host, "config.edge.skype.com"))
            || (shExpMatch(host, "delve.office.com"))
            || (shExpMatch(host, "domains.live.com")) 
            || (shExpMatch(host, "eur.delve.office.com"))
            || (shExpMatch(host, "gbr.delve.office.com"))
            || (shExpMatch(host, "hip.microsoftonline-p.net"))
            || (shExpMatch(host, "home.office.com"))
            || (shExpMatch(host, "ind.delve.office.com"))
            || (shExpMatch(host, "jpn.delve.office.com"))
            || (shExpMatch(host, "kor.delve.office.com"))
            || (shExpMatch(host, "lam.delve.office.com"))
            || (shExpMatch(host, "login.microsoftonline-p.net"))				
            || (shExpMatch(host, "login.windows.net"))						
            || (shExpMatch(host, "login.microsoft.com"))
            || (shExpMatch(host, "nam.delve.office.com"))
            || (shExpMatch(host, "nexus.microsoftonline-p.net"))
            || (shExpMatch(host, "outlook.office365.com")) 
            || (shExpMatch(host, "pipe.skype.com"))	
            || (shExpMatch(host, "portal.office.com"))
            || (shExpMatch(host, "prod.registrar.skype.com"))
            || (shExpMatch(host, "prod.tpc.skype.com"))
            || (shExpMatch(host, "s-0001.s-msedge.net"))
            || (shExpMatch(host, "s-0004.s-msedge.net"))
            || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net"))
            || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net"))  
            || (shExpMatch(host, "signup.microsoft.com"))
            || (shExpMatch(host, "smtp.office365.com"))  
            || (shExpMatch(host, "suite.office.net")) 
            || (shExpMatch(host, "teams.microsoft.com"))  
            || (shExpMatch(host, "www.outlook.com"))   						
            || (shExpMatch(host, "www.office.com")))



       
    {
        return "DIRECT";
    }

        // If Azure public peering is available the following can be added to the Expressroute section above and sent direct via ER. If not these can be sent via the internet i.e delete them from the PAC file.
       
        //*.adhybridhealth.azure.com
        //*.cloudapp.net
        //*.blob.core.windows.net
        //*.hybridconfiguration.azurewebsites.net
        //*.keydelivery.mediaservices.windows.net
        //*.queue.core.windows.net
        //*.servicebus.windows.net - Port: 5671 (If 5671 is blocked, agent falls back to 443, but using 5671 is recommended.)
        //*.store.core.windows.net
        //*.streaming.mediaservices.windows.net
        //*.table.core.windows.net
        //compliance.outlook.com
        //dc.services.visualstudio.com
        //equivio.office.com
        //equivioprod*.cloudapp.net
        //hybridconfiguration.azurewebsites.net
        //liverdcxstorage.blob.core.windowsazure.com//
        //management.azure.com
        //mshrcstorageprod.blob.core.windows.net
        //office365servicehealthcommunications.cloudapp.net
        //office365zoom.cloudapp.net
        //policykeyservice.dc.ad.msft.net
        //protection.office.com
        //secure.aadcdn.microsoftonline-p.com
        //telemetry.remoteapp.windowsazure.com
        //vortex.data.microsoft.com
        //www.remoteapp.windowsazure.com
        //zoom-cs-prod*.cloudapp.net



        //Catchall for all other traffic to proxy
    else
    {
        return proxyserver;
    }
}

Třetí příklad ukazuje odesílání všech síťových požadavků přidružených k Office 365 do jednoho cíle. Tento způsob se často používá k vynechání všech kontrol síťových požadavků Office 365 a zároveň nabízí formát, kdy jsou všechny publikované koncové body v seznamu ve formátu PAC, který můžete použít k přizpůsobení.

Fragment kódu:

// JavaScript source code
//October 2017 Update new URLS go live 1st Nov2017 - Some URLs may have been removed from this file from previous versions as they are no longer required.
//Consolidated FQDNs required to access Office 365 - All services including optional components covered and elements covered under wildcards removed. 
//Some repeated domains have been consoliodated into unpublished wildcards in order to keep the file as small as possible.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    if ((shExpMatch(host, "*.adhybridhealth.azure.com"))
        || (shExpMatch(host, "*.api.microsoftstream.com"))  
        || (shExpMatch(host, "*.api.skype.com"))  
        || (shExpMatch(host, "*.asm.skype.com"))     
        || (shExpMatch(host, "*.assets-yammer.com"))
        || (shExpMatch(host, "*.azureedge.net"))   
        || (shExpMatch(host, "*.broadcast.skype.com"))
        || (shExpMatch(host, "*.cc.skype.com")) 
        || (shExpMatch(host, "*.cdn.skype.com")) 
        || (shExpMatch(host, "*.cloudapp.net")) 	
        || (shExpMatch(host, "*.config.skype.com")) 
        || (shExpMatch(host, "*.conv.skype.com"))
        || (shExpMatch(host, "*.crl.entrust.net"))
        || (shExpMatch(host, "*.dc.trouter.io"))
        || (shExpMatch(host, "*.digicert.com"))
        || (shExpMatch(host, "*.entrust.net")) 	        
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.giphy.com")) 
        || (shExpMatch(host, "*.globalsign.com"))
        || (shExpMatch(host, "*.helpshift.com")) 
        || (shExpMatch(host, "*.hockeyapp.net"))       							
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    	
        || (shExpMatch(host, "*.lync.com"))
        || (shExpMatch(host, "*.microsoft.com"))				
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))	
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))	
        || (shExpMatch(host, "*.msedge.net"))
        || (shExpMatch(host, "*.msg.skype.com")) 					
        || (shExpMatch(host, "*.msocdn.com"))
        || (shExpMatch(host, "*.notification.api.microsoftstream.com"))	
        || (shExpMatch(host, "*.ocsp.omniroot.com"))    			
        || (shExpMatch(host, "*.office365.com"))
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.office.com"))	
        || (shExpMatch(host, "*.office.net"))
        || (shExpMatch(host, "*.officeapps.live.com"))		 
        || (shExpMatch(host, "*.onenote.com"))				
        || (shExpMatch(host, "*.outlook.com"))	
        || (shExpMatch(host, "*.outlookgroups.ms"))  
        || (shExpMatch(host, "*.oaspapps.com"))
        || (shExpMatch(host, "*.pipe.skype.com")) 			
        || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.sfbassets.com"))  
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sharepoint.com"))	
        || (shExpMatch(host, "*.skypeforbusiness.com"))	
        || (shExpMatch(host, "*.streaming.mediaservices.windows.net"))	
        || (shExpMatch(host, "*.svc.ms")) 	
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))
        || (shExpMatch(host, "*.teams.skype.com"))
        || (shExpMatch(host, "*.users.storage.live.com"))
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))				
        || (shExpMatch(host, "*.windows.net"))	
        || (shExpMatch(host, "*.yammer.com"))	
        || (shExpMatch(host, "*.yammerusercontent.com"))         
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "aka.ms"))	
        || (shExpMatch(host, "ajax.aspnetcdn.com"))
        || (shExpMatch(host, "amp.azure.net"))	
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "c.bing.net"))
        || (shExpMatch(host, "cert.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "client.hip.live.com"))     
        || (shExpMatch(host, "config.edge.skype.com"))
        || (shExpMatch(host, "connect.facebook.net"))
        || (shExpMatch(host, "crl.identrust.com/DSTROOTCAX3CRL.crl"))	
        || (shExpMatch(host, "dc.services.visualstudio.com"))	
        || (shExpMatch(host, "eus-www.sway-cdn.com"))	
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "graph.skype.com"))
        || (shExpMatch(host, "hybridconfiguration.azurewebsites.net"))  
        || (shExpMatch(host, "isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com"))					
        || (shExpMatch(host, "management.azure.com"))
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "nps.onyx.azure.net"))   
        || (shExpMatch(host, "ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "ocsp.msocsp.com"))     
        || (shExpMatch(host, "ocsp.omniroot.com"))     
        || (shExpMatch(host, "officecdn.microsoft.com.edgesuite.net"))
        || (shExpMatch(host, "officecdn.microsoft.com.edgekey.net"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com"))
        || (shExpMatch(host, "pipe.skype.com"))	
        || (shExpMatch(host, "platform.linkedin.com"))										
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))				
        || (shExpMatch(host, "prod.registrar.skype.com")) 
        || (shExpMatch(host, "prod.tpc.skype.com")) 
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "s-0001.s-msedge.net")) 
        || (shExpMatch(host, "s-0004.s-msedge.net"))   
        || (shExpMatch(host, "s0.assets-yammer.com"))  
        || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "site-cdn.onenote.net"))
        || (shExpMatch(host, "skydrive.wns.windows.com"))
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))		
        || (shExpMatch(host, "ssw.live.com"))
        || (shExpMatch(host, "staffhub.ms))
        || (shExpMatch(host, "staffhub.uservoice.com"))    
        || (shExpMatch(host, "storage.live.com"))				
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))	
        || (shExpMatch(host, "tse1.mm.bing.net"))     
        || (shExpMatch(host, "web.microsoftstream.com"))     
        || (shExpMatch(host, "wus-www.sway-cdn.com"))						
        || (shExpMatch(host, "wus-www.sway-extensions.com"))        
        || (shExpMatch(host, "wu.client.hip.live.com"))     
        || (shExpMatch(host, "www.bing.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com")))



    {
        return proxyserver;
    }

        //Catchall for all other traffic to another proxy

    else return "PROXY 10.10.10.11:8080";
}

Tady je několik dalších nástrojů z komunity. Pokud jste vytvořili nějaký nástroj, o který se chcete podělit, nechte poznámku v komentářích. Žádný z komunitních nástrojů popisovaných v tomto článku není oficiálně podporovaný ani spravovaný Microsoftem. Uvádíme ho zde jen pro referenci.

  • Tady je nejstarší nástroj, který vznikl v komunitě a pomůže vám při správě procesu. Nástroj vytvořil člen komunity Office 365. Tady jsou pokynyodkaz ke stažení.

  • Testování konceptu s exportovatelnými pravidly brány firewall: Microsoft Cloud IP API

  • Od IT Praktyka: Pokyny, převod informačního kanálu RSSpřevod souboru XML

  • Od Petera Abeleho: Stáhnout

  • Použijte svou síťovou analýzu k určení síťových požadavků, které by měly vaši infrastrukturu proxy serveru obejít. Nejběžnějšími plně kvalifikovanými názvy domén používanými k obejití proxy serverů zákazníků jsou kvůli odchozímu a příchozímu objemu provozu sítě z těchto koncových bodů tyto:

    outlook.office365.com
    outlook.office.com
    <tenant-name>.sharepoint.com
    <tenant-name>-my.sharepoint.com
    <tenant-name>-<app>.sharepoint.com
    *.Lync.com
    
  • Ujistěte se, že všechny síťové požadavky odesílané přímo bráně firewall mají odpovídající položku v seznamu povolených položek pro bránu firewall, aby požadavku bylo umožněno projít.

Integrace hraniční sítě

Věděli jste, že síť WAN Microsoftu je jednou z největších páteřních sítí na světě?

Je to tak. Díky této masivní síti fungují služby Office 365 i další naše cloudové služby bez ohledu na místo, kde na světě jste. Naše síť se skládá z širokopásmového prostoru s nízkou latencí, odkazů schopných převzít služby při selhání, tisíců kilometrů tras soukromých nepoužívaných optických kabelů, spojení mezi datacentry o velikosti mnoha terabajtů a okrajových uzlů, které usnadňují používání našich cloudových služeb.

U sítě této velikosti k ní budete chtít připojit zařízení své organizace co nejdříve. Díky více než 2 500 globálním partnerským vztahům s poskytovateli internetových služeb a 70 bodům POP (Point of Presence) by připojení vaší sítě k naší mělo proběhnout bez problémů. Vyplatí se, když budete věnovat několik minut kontrole optimálního partnerského vztahu s vaším poskytovatelem internetových služeb. Tady je několik příkladů dobrých i ne zrovna optimálních případů předání přenosu do naší sítě.

Zařízení v síti můžete konfigurovat ručně nebo automaticky, aby v závislosti na vašem zařízení optimálně zpracovávala síťové požadavky aplikací Office 365. Změny konfigurace potřebné k optimálnímu zpracování síťového provozu Office 365 budou záviset na vašem prostředí. Pro síťové požadavky Office 365 mohou být užitečné síťové konfigurace, které nabízejí následující možnosti:

  • Priorita před méně důležitými síťovými přenosy

  • Přesměrování na místní výchozí přenos, aby se předešlo zpětným přenosům přes pomalou linku WAN a současně se využilo nízké latence, která je dostupná v síti Microsoftu. Tady je užitečná diskuze, která vychází ze zkušeností zákazníků.

  • Použitím DNS v blízkosti místního výchozího přenosu zajistíte, že síťový požadavek, který opustí bod místního výchozího přenosu, dorazí do nejbližšího místa pro partnerský vztah s Microsoftem.

  • Vyloučení hloubkové kontroly paketů a jejich dalšího zpracování náročného na síť, aby bylo možné v požadovaném měřítku vyhovět požadavkům na nízkou latenci

Moderní síťová zařízení zahrnují funkce pro správu síťových požadavků důvěryhodných aplikací, jako je Office 365. Tato správa probíhá jinak než u obecného, nedůvěryhodného internetového provozu. Řešení SD-WAN, která se postupně rozšiřují, umožňují rozlišovat přenosy a nabízejí výběr cesty podle měnícího se stavu sítě, například podle dostupnosti v určitém časovém okamžiku, latence nebo výkonu různých spojovacích cest mezi uživatelem a cloudem.

Další pokyny k plánování konfigurace sítě najdete v tématech Plánování sítě a migrace pro Office 365, Plán řešení problémů s výkonem Office 365 a Kontrolní seznam pro plánování nasazení Office 365.

Implementace tohoto scénáře:

Zeptejte se svého poskytovatele síťového řešení nebo poskytovatele služeb, jestli může použít adresu URL Office 365 a definice IP adres z definice XML, aby umožnil místní (pro uživatele) síťový výchozí přenos pro Office 365 s nízkou režií a správu jeho priority ve vztahu k jiným aplikacím a nastavení síťové cesty pro připojení Office 365 k síti Microsoftu podle měnících se podmínek v síti. Některá řešení si do svých zásobníků stáhnou definice XML adres URL a IP adres Office 365 a automatizují je.

Vždy ověřte, zda má implementované řešení potřebný stupeň odolnosti, odpovídající geografickou redundanci síťové cesty pro provoz Office 365. Dále ověřte, jestli bere v úvahu zveřejněné změny adres URL a IP adres Office 365.

Časté otázky správců ohledně připojení:

Kliknutím na odkaz v dolní části označte, jestli byl článek užitečný nebo ne, a odešlete jakékoli další otázky. Sledujeme vaše názory. A otázky, které jsou tu uvedené, aktualizujeme těmi, na které se ptáte nejčastěji.

Při oznámení nových koncových bodů trvá většinou nejméně 30 dnů, než začnou platit a než přes ně budou chodit síťové požadavky. Toto období zajišťuje, aby zákazníci a partneři měli příležitost k aktualizaci svých systémů. Přidané a odebrané plně kvalifikované názvy domén a předpony IP adres se zpracovávají v souboru XML zároveň s tímto prohlášením, což znamená, že nový plně kvalifikovaný název domény bude v tomto souboru XML 30 dnů předtím, než se začne používat. Protože síťové požadavky přestaneme na odebrané koncové body odesílat ještě předtím, než oznámíme jejich odebrání, při odebrání koncového bodu ze souboru XML v okamžiku oznámení se tento koncový bod už nepoužívá.

Koncové body Office 365 se publikují na konci každého měsíce a upozorňujeme na ně 30 dní předem. Občas mohou změny nastat častěji než jednou za měsíc nebo se může zkrátit oznamovací lhůta. Po přidání koncového bodu se v informačním kanálu RSS zobrazí datum platnosti, po kterém bude možné na daný koncový bod odesílat síťové požadavky. Pokud s technologií RSS teprve začínáte, přečtěte si postup, jak se přihlásit k odběru v Outlooku. Aktualizace informačního kanálu RSS vám také můžeme posílat e-mailem.

Po přihlášení se k odběru informačního kanálu RSS můžete informace analyzovat sami nebo pomocí skriptu. Následující tabulka vysvětluje pro zjednodušení formát informačního kanálu RSS.

Oddíl

Část 1

Část 2

Část 3

Část 4

Část 5

Část 6

Popis

Počet

Datum, po jehož uplynutí můžete předpokládat, že síťové požadavky byly odeslány koncovému bodu.

Základní popis funkce nebo služby, která vyžaduje koncový bod.

Lze se k tomuto koncovému bodu připojit kromě internetu také pomocí okruhu služby ExpressRoute?

Ano – k tomuto koncovému bodu se můžete připojit pomocí internetu i služby ExpressRoute.

Ne – k tomuto koncovému bodu se můžete připojit pouze pomocí internetu.

Přidání nebo odebrání cílového plně kvalifikovaného názvu domény nebo rozsahu IP adres.

Příklad

1/

[V platnosti od xx/xx/xxx.

Povinné: <popis>.

ExpressRoute:

<Ano/Ne>.

<Plně kvalifikovaný název domény / IP adresa>],

Můžete si všimnout, že všechny položky mají stejné oddělovače:

  • / – po uvedení počtu

  • [ – označení položky pro počet

  • . – použito mezi každou odlišnou částí položky

  • ], – označení konce každé položky

  • ]. – označení konce všech položek

K umístění tenanta je nejlepší použít naší mapu datacenter.

Podrobnější popis míst pro partnerský vztah najdete v informacích o partnerském vztahu s Microsoftem.

Díky více než 2 500 globálním partnerským vztahům s poskytovateli internetových služeb a 70 bodům POP (Point of Presence) by připojení vaší sítě k naší mělo proběhnout bez problémů. Vyplatí se, když budete věnovat několik minut kontrole optimálního partnerského vztahu s vaším poskytovatelem internetových služeb. Tady je několik příkladů dobrých i ne zrovna optimálních případů předání přenosu do naší sítě.

Akceptované trasy ExpressRoute jsou definované v rozsazích IP adres Microsoftu a definují je také určité Office 365komunity BGP.

Do sady Office 365 pravidelně přidáváme nové funkce a služby, které rozšiřují možnost připojení. Pokud máte předplacené plány (skladové položky) E3 nebo E5, můžete se na tento seznam koncových bodů jednoduše dívat tak, že k získání všech funkcí sady potřebujete všechny koncové body. Pokud nemáte předplacenu žádnou z těchto skladových položek, je rozdíl z hlediska počtu koncových bodů minimální.

Na následujícím obrázku vidíte příklad z části tabulky plně kvalifikovaných názvů domén v oddílu Office Online. Řádky jsou uspořádané podle funkce a rozdílů v připojení. První dva řádky znamenají, že Office Online závisí na koncových bodech, které jsou v oddílech Ověřování a Identita Office 365 a v oddílech portálu a sdílení označené jako povinné. Obvykle platí, že služba je v rámci Office 365 na těchto sdílených službách závislá. Třetí řádek znamená, že klienti musí mít přístup k *.officeapps.live.com, aby mohli používat Office Online, a čtvrtý řádek znamená, že počítače musí mít také přístup k *.cdn.office.net, aby mohly používat Office Online.

Přestože jsou k použití Office Online vyžadované řádky tři i čtyři, jsou rozdělené, aby ukázaly, že cíl je jiný:

  1. *.officeapps.live.com nepředstavuje síť pro doručování obsahu, což znamená, že žádosti o tento obor názvů půjdou přímo do datacentra Microsoftu.

  2. *.officeapps.live.com je přístupný v okruzích ExpressRoute s použitím partnerských uzlů Microsoftu.

  3. IP adresy přidružené k Office Online a *.officeapps.live.com najdete pod tímto odkazem.

  4. *.cdn.office.net představuje síť pro doručování obsahu hostovanou na serverech Akamai, což znamená, že žádosti o tento obor názvů půjdou do datacentra Akamai.

  5. *.cdn.office.net není v okruzích ExpressRoute dostupný.

  6. IP adresy přidružené k Office Online a *.cdn.office.net nejsou dostupné.

Snímek obrazovky stránky s koncovými body

Poskytujeme jenom IP adresy serverů Office 365 pro přímé přesměrování po internetu nebo přes ExpressRoute. Nejedná se o úplný seznam všech IP adres, pro které vidíte síťové požadavky. Vidíte také síťové požadavky na Microsoft a na neveřejné IP adresy patřící třetím stranám. Tyto IP adresy se generují dynamicky nebo se spravují takovým způsobem, který brání včasnému oznámení jejich změny. Pokud vaše brána firewall u těchto síťových požadavků neumožňuje přístup podle plně kvalifikovaných názvů domén, použijte k jejich správě soubor PAC nebo WPAD.

Vidíte IP adresu přidruženou k Office 365 a chcete o ní získat více informací?

  1. Zkontrolujte na kalkulačce CIDR, jestli je IP adresa zahrnutá do většího publikovaného rozsahu.

  2. Pokud se chcete podívat, jestli adresa IP patří partnerovi, použijte službu Whois Query. Pokud patří Microsoftu, může jít o interního partnera.

  3. Když potřebujete zjistit, jaké domény jsou k IP adrese přidružené, podívejte se na certifikát. V prohlížeči se připojte k IP adrese příkazem HTTPS://<IP_ADRESA> a zkontrolujte domény uvedené na certifikátu. Pokud adresa patří Microsoftu, ale není na seznamu IP adres Office 365, pravděpodobně jde o IP adresu přiřazenou síti pro doručování obsahu (CDN) Microsoftu, jako je MSOCDN.NET, nebo o jinou doménu Microsoftu, která nemá zveřejněné informace o IP adrese. Pokud zjistíte, že u domény na certifikátu tvrdíme, že je její IP adresa uvedená, dejte nám prosím vědět.

Office 365 a další služby Microsoftu používají ke zdokonalení prostředí Office 365 různé externí služby, jako je Akamai a MarkMonitor. Abychom vám zajistili to nejlepší možné prostředí, můžeme tyto služby v budoucnosti změnit. Proto často publikujeme záznam CNAME, který míří na doménu patřící třetí straně, záznam A nebo IP adresu. Domény třetích stran mohou hostovat obsah, jako je síť CDN, nebo mohou hostovat některou službu, například geografickou službu pro správu přenosů. Když uvidíte připojení k těmto třetím stranám, jsou většinou ve formě přesměrování nebo odkazu, nikoli ve formě počátečního požadavku klienta. Někteří zákazníci potřebují ověřit, že u této formy odkazu a přesměrování je dovolený průchod bez výslovného přidání dlouhého seznamu potenciálních plně kvalifikovaných názvů domén, které mohou služby třetích stran používat.

Seznam služeb se může kdykoli změnit. Některé aktuálně používané služby:

MarkMonitor se používá, když vidíte požadavky, které obsahují *.nsatc.net. Tato služba nabízí ochranu a monitorování názvu domény, aby ji chránila před poškozením.

ExactTarget se používá, když vidíte požadavky na *.exacttarget.com. Tato služba nabízí správu a monitorování e-mailových odkazů, aby je chránila před poškozením.

Akamai se používá, když vidíte požadavky, které obsahují některý z následujících plně kvalifikovaných názvů domény. Tato služba nabízí geografický systém DNS a služby sítě pro doručování obsahu.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

  • Ke službám třetích stran se připojujete kvůli načtení základních internetových služeb, jako je vyhledávání DNS a načtení obsahu sítě CDN. K těmto službám se také připojujete kvůli integraci, třeba když chcete do svých poznámek ve OneNotu zahrnout videa z YouTube.

  • Připojujete se k sekundárním službám hostovaným a provozovaným Microsoftem, jako jsou hraniční uzly, které umožňují vašim síťovým požadavkům vstup do globální sítě Microsoftu na takovém místě v internetu, které je vašemu počítači nejbližší. Síť Microsoftu je třetí největší síť na světě. Pro vás to znamená lepší možnost připojení. Připojujete se také ke službám Microsoft Azure, třeba ke službám Azure Media Services, které používají různé služby Office 365.

  • Připojujete se k primárním službám Office 365, třeba k poštovnímu serveru Exchange Online nebo k serveru Online Skypu pro firmy, kde jsou chráněná vaše jedinečná data. K připojení k primárním službám Office 365 můžete použít plně kvalifikovaný název domény nebo IP adresu a internetový okruh nebo okruh ExpressRoute. Ke službám třetích stran a sekundárním službám se můžete připojit jen pomocí plně kvalifikovaného názvu domény v internetovém okruhu.

Následující diagram znázorňuje rozdíly mezi těmito oblastmi služeb. V tomto diagramu má místní zákaznická síť vlevo dole několik síťových zařízení, která pomáhají spravovat připojení k síti. Podobné konfigurace, jako je tato, jsou časté u zákazníků z řad velkých organizací. Pokud má síť bránu firewall jen mezi klientskými počítači a internetem, je podporovaná i tato konfigurace. V takovém případě ověřte, jestli vaše brána firewall v pravidlech povolených seznamů podporuje plně kvalifikované názvy domén a zástupné znaky.

Tři různé typy síťových koncových bodů při používání Office 365

Office 365 je sada služeb vytvořená tak, aby fungovala po internetu. Jejich spolehlivost a dostupnost je založená na dostupnosti mnoha standardních internetových služeb. Abyste mohli používat Office 365, musí být dosažitelné standardní internetové služby, jako je DNS, CRL a sítě CDN. Tyto služby musí být dosažitelné i pro většinu moderních internetových služeb.

Kromě těchto základních internetových služeb existují ještě služby třetích stran, které se používají jenom k integraci funkcí. Třeba služba Giphy.com v aplikaci Microsoft Teams umožňuje zákazníkům do této aplikace jednoduše zahrnout soubory GIF. Podobně třeba YouTube a Flickr jsou služby třetích stran, které se používají k bezproblémové integraci videí a obrázků do klientů Office z internetu. I když jsou tyto služby potřeba k integraci, jsou v článku o koncových bodech Office 365 označené jako volitelné. To znamená, že hlavní funkce této služby budou dále fungovat, i když koncový bod není dostupný.

Pokud zkoušíte používat Office 365, ale zjišťujete, že služby třetích stran nejsou dostupné, musíte zajistit, aby všechny plně kvalifikované názvy domén, které jsou v tomto článku označené jako povinné nebo volitelné, měly povolený průchod proxy serverem a bránou firewall.

Sekundární služby jsou služby Microsoftu, které nespadají pod správu Office 365. Jde o služby jako například hraniční síť, Azure Media Services a služby Azure Content Delivery Network. K používání Office 365 jsou všechny tyto služby potřeba a musí být dosažitelné.

Pokud zkoušíte používat Office 365, ale zjišťujete, že služby třetích stran nejsou dostupné, musíte zajistit, aby všechny plně kvalifikované názvy domén, které jsou v tomto článku označené jako povinné nebo volitelné, měly povolený průchod proxy serverem a bránou firewall.

Přístup ke službám pro spotřebitele blokujete na své vlastní riziko. Jediný spolehlivý způsob, jak zablokovat služby pro spotřebitele, spočívá v omezení přístupu k plně kvalifikovanému názvu domény login.live.com. Tento plně kvalifikovaný název domény používá celá řada služeb, jako například MSDN, TechNet a další služby, které nejsou určené spotřebitelům. Pokud k tomuto plně kvalifikovanému názvu domény zablokujete přístup, může se stát, že budete muset zahrnout také výjimky z tohoto pravidla pro síťové požadavky, které jsou s těmito službami spojené.

Mějte na paměti, že samotné zablokování přístupu ke službám Microsoftu pro spotřebitele nezabrání někomu ve vaší síti, aby prostřednictvím klienta Office 365 nebo jiné služby vyfiltroval určité informace.

Viz taky

Rozsahy IP adres datových center Microsoft Azure

Prostor veřejných adres Microsoftu

Požadavky na síťovou infrastrukturu pro Microsoft Intune

Power BI a ExpressRoute

Adresy URL a rozsahy IP adres pro Office 365

Správa služby ExpressRoute pro připojení k Office 365

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojte se k účastníkům programu Office Insiders

Byly tyto informace užitečné?

Děkujeme vám za zpětnou vazbu.

Děkujeme vám za váš názor. Vypadá to, že bude užitečné, když vás spojíme s některým z našich agentů z podpory Office.

×