Administration af ExpressRoute til Office 365-forbindelse

ExpressRoute til Office 365 tilbyder en alternativ routingsti til at nå mange Office 365-tjenester, uden at al trafik behøver at gå ud på internettet. Selvom der stadig kræves internetforbindelse til Office 365, gør de specifikke ruter, som Microsoft annoncerer gennem BGP til dit netværk, det direkte ExpressRoute-kredsløb til foretrukket, medmindre der er andre konfigurationer i dit netværk. De tre almindelige områder, du måske vil konfigurere for at administrere denne routing omfatter præfiksfiltrering, sikkerhed og overholdelse af regler og standarder.

Bemærk: Microsoft har ændret måden, hvorpå Microsoft Peering routing-domænet vurderes for Azure ExpressRoute. Fra den 31. juli 2017 kan alle Azure ExpressRoute-kunder aktivere Microsoft Peering direkte fra Azure Administrative konsol eller via PowerShell. Efter aktivering af Microsoft Peering, kan enhver kunde oprette rutefiltre for at modtage BGP-ruteannonceringer for Dynamics 365 Customer Engagement-programmer (tidligere kaldet CRM Online). Kunder, der har behov for Azure ExpressRoute til Office 365, skal indhente vurdering fra Microsoft, før de kan oprette rutefiltre for Office 365. Kontakt dit Microsoft-kontoteam for at få mere at vide om, hvordan du anmoder om en vurdering for aktivering af Office 365 ExpressRoute. Uautoriserede abonnementer, der forsøger at oprette rutefiltre til Office 365, modtager en fejlmeddelelse.

Præfiksfiltrering

Microsoft anbefaler, at kunderne accepterer alle BGP-ruter som annonceres fra Microsoft. De leverede ruter gennemgår en grundig revisions- og valideringsproces, så du vinder ikke noget ved at granske dem yderligere. ExpressRoute tilbyder oprindeligt de anbefalede kontrolelementer som f.eks. ejerskab af IP-præfiks, integritet og skalering – uden nogen indgående rutefiltrering på kundesiden.

Hvis du kræver yderligere validering af ruteejerskab på tværs af offentlig peering i ExpressRoute, kan du holde de annoncerede ruter på listen op mod alle IPv4-og IPv6--IP-præfikser, der repræsenterer Microsofts offentlige IP-adresseområder. Disse områder dækker hele Microsoft-adresseområdet og ændres sjældent, hvilket giver et pålideligt sæt af intervaller at filtrere op imod, som også indeholder yderligere beskyttelse til kunder, der er bekymrede for, at der lækkes ruter, som ikke ejes af Microsoft, ind i deres miljø. Skulle der ske en ændring, vil denne finde sted d. 1. i måneden, og versionsnummeret i detaljesektionen på siden ændres, hver gang filen opdateres.

Der er flere grunde, til at undgå at bruge URL-adresser og IP-adresseintervaller for Office 365 til at generere præfiksfilterlister. Herunder følgende:

  • IP-præfikserne for Office 365 gennemgår mange og hyppige ændringer.

  • URL-adresserne og IP-adresseintervallerne for Office 365 er designet til at administrere tilladelseslister til firewall og proxyinfrastruktur, ikke routing.

  • URL-adresserne og IP-adresseintervallerne for Office 365 omfatter ikke andre Microsoft-tjenester, som er i området for dine ExpressRoute-forbindelser.

Indstilling

Kompleksitet

Rediger kontrolelement

Acceptér alle Microsoft-ruter

Lav: Kunden er afhængig af Microsoft-kontrolelementer for at sikre, at alle ruter ejes korrekt.

Ingen

Filtrer supernet ejet af Microsoft

Mellem: Kunden implementerer opsummerede præfiksfilterlister for kun at tillade ruter ejet af Microsoft.

Kunderne skal sikre, at de sjældne opdateringer afspejles i rutefiltrene.

Filtrer IP-intervaller for Office 365

Advarsel: Ikke anbefalet

Høj: Kunden filtrerer ruter baseret på definerede Office 365 IP-præfikser.

Kunderne skal implementere en robust proces for styring af ændringer for de månedlige opdateringer.

Advarsel: Denne løsning kræver væsentlige løbende ændringer. Ændringer, der ikke implementeres i tide, resulterer sandsynligvis i nedetid for tjenesten.

At oprette forbindelse til Office 365 ved hjælp af Azure ExpressRoute er baseret på BGP-annonceringer for bestemte IP-undernet, der repræsenterer netværk, hvor Office 365-slutpunkter er installeret. På grund af Office 365's globale type og antallet af tjenester, der udgør Office 365, har kunder ofte brug for at administrere de annoncer, de accepterer på deres netværk. Hvis du er bekymret for antallet af præfikser, der annonceres i dit miljø, giver BGP community-funktionen dig mulighed for at filtrere annonceringerne til et bestemt sæt af Office 365-tjenester. Denne funktion er nu i preview.

Uanset hvordan du administrerer de BGP-ruteannonceringer, der kommer fra Microsoft, får du ingen særlig eksponering for Office 365-tjenester sammenlignet med at oprette forbindelse til Office 365 over et internetkredsløb alene. Microsoft opretholder de samme niveauer for sikkerhed, overholdelse af regler og standarder og ydeevne, uanset hvilken type kredsløb en kunde bruger til at oprette forbindelse til Office 365.

Sikkerhed

Microsoft anbefaler, at du vedligeholder dit eget netværk og sikkerhedsperimeterkontroller for forbindelser til og fra offentlig ExpressRoute- og Microsoft-peering, hvilket omfatter forbindelser til og fra Office 365-tjenester. Der bør være implementeret sikkerhedskontrolelementer for netværksanmodninger, der er udgående fra dit netværk til Microsofts netværk, samt indgående fra Microsofts netværk til dit netværk.

Udgående fra kunde til Microsoft

Når computere opretter forbindelse til Office 365, opretter de forbindelse til det samme sæt slutpunkter uanset om der er oprettet forbindelse via et internet- eller ExpressRoute-kredsløb. Uanset hvilket kredsløb der bruges, anbefaler Microsoft at du behandler Office 365-tjenester som mere pålidelige end generiske internetdestinationer. Dine sikkerhedskontrolelementer for udgående trafik bør fokusere på porte og protokoller, for at reducere eksponering og minimere løbende vedligeholdelse. De påkrævede oplysninger om porte findes i referenceartiklen om Office 365-slutpunkter.

For tilføjede kontrolelementer kan du bruge filtrering på FQDN-niveau inden for din proxy-infrastruktur, til at begrænse eller undersøge nogle eller alle netværksanmodninger, der er beregnet til internettet eller Office 365. Vedligeholdelse af listen over FQDN'er efterhånden som funktioner frigives og Office 365-tilbud udvikler sig kræver mere robust ændringsstyring og registrering af ændringer til de offentliggjorte Office 365 slutpunkter.

Advarsel: Microsoft anbefaler, at du ikke udelukkende sætter din lid til IP-præfikser til at administrere udgående sikkerhed til Office 365

Indstilling

Kompleksitet

Rediger kontrolelement

Ingen begrænsninger

Lav: Kunden tillader ubegrænset udgående adgang til Microsoft.

Ingen

Begrænsninger for port

Lav: Kunden begrænser de forventede portes udgående adgang til Microsoft.

Sjælden.

FQDN-begrænsninger

Høj: Kunden begrænser udgående adgang til Office 365 baseret på de publicerede FQDN'er.

Månedlige ændringer.

Indgående fra Microsoft til kunde

Der er flere valgfri scenarier, der kræver, at Microsoft åbner forbindelser til dit netværk.

Microsoft anbefaler, at du vælger disse forbindelser i stedet for dit ExpressRoute-kredsløb for at mindske kompleksiteten. Hvis dit behov for ydeevne eller overholdelse af regler og standarder dikterer, at disse indgående forbindelser skal accepteres over et ExpressRoute-kredsløb, anbefales det at bruge en firewall eller omvendt proxy, til at begrænse de accepterede forbindelser. Du kan bruge Office 365-slutpunkter, til at finde frem til de rette FQDN'er og IP-præfikser.

Overholdelse af regler og standarder

Vi er ikke afhængige af den routingsti, du bruger til nogle af vores kompatibilitetskontroller. Uanset om du opretter forbindelse til Office 365-tjenester via et ExpressRoute- eller internetkredsløb, ændrer vores kompatibilitetskontroller sig ikke. Du bør gennemgå de forskellige kompatibilitets- og sikkerhedscertificeringsniveauer til Office 365 for at finde frem til den valgmulighed, der bedst opfylder din organisations behov.

Her er et kort link, du kan bruge til at komme tilbage: https://aka.ms/manageexpressroute365

Relaterede emner

Netværk, der leverer indhold
Office 365 URL- og IP-adresser og IP-adresseintervaller
Administration af Office 365-slutpunkter
Azure ExpressRoute til kurser i Office 365

Udvid dine færdigheder
Gå på opdagelse i kurser
Få nye funktioner først
Bliv Office Insider

Var disse oplysninger nyttige?

Tak for din feedback!

Tak for din feedback! Det lyder, som om det vil kunne hjælpe, hvis du bliver sat i forbindelse med en af vores Office-supportteknikere.

×