Verwalten von ExpressRoute für Office 365-Verbindungen

ExpressRoute für Office 365 bietet einen alternativen Routingpfad, um viele Office 365-Dienste zu erreichen, ohne den gesamten Datenverkehr ins Internet leiten zu müssen. Obwohl die Internetverbindung mit Office 365 weiterhin erforderlich ist, wird der ExpressRoute-Pfad gegenüber den von Microsoft über BGP angekündigten bestimmten Routen zu Ihrem Netzwerk bevorzugt, es sei denn, es gibt andere Konfigurationen in Ihrem Netzwerk. Die drei allgemeinen Bereiche, die Sie konfigurieren können, um dieses Routing zu verwalten, umfassen Präfixfilterung, Sicherheit und Compliance.

Hinweis : Microsoft hat die Art der Überprüfung der Routingdomäne von Microsoft-Peering für Azure ExpressRoute geändert. Ab dem 31. Juli 2017 können alle Azure ExpressRoute-Kunden Microsoft-Peering direkt über die Azure-Verwaltungskonsole oder über PowerShell aktivieren. Nach der Aktivierung von Microsoft-Peering kann jeder Kunde Routenfilter zum Empfangen von BGP-Routenankündigungen für Dynamics 365 Customer Engagement-Anwendungen (vormals CRM Online) erstellen. Kunden, die Azure ExpressRoute für Office 365 müssen benötigen, müssen eine Überprüfung von Microsoft durchführen lassen, bevor sie Routenfilter für Office 365 erstellen können. Wenden Sie sich an das Team Ihres Microsoft-Kontos, um mehr darüber zu erfahren, wie Sie eine Überprüfung für die Aktivierung von Office 365 ExpressRoute anfordern. Nicht autorisierte Abonnements, die versuchen, Routenfilter für Office 365 zu erstellen, erhalten eine Fehlermeldung.

Präfixfilterung

Microsoft empfiehlt, dass Kunden alle BGP-Routen (wie von Microsoft angekündigt) akzeptieren. Die bereitgestellten Routen werden einem strengen Prüfungs- und Validierungsprozess unterzogen, wodurch sämtliche Vorteile durch die zusätzliche Überprüfung beseitigt werden. ExpressRoute bietet die empfohlenen Kontrollmöglichkeiten wie IP-Präfixbesitz, Integrität und Skalierung ohne eingehende Routenfilterung auf Kundenseite.

Wenn die zusätzliche Validierung des Routenbesitzes über Public Peering von ExpressRoute erforderlich ist, können Sie die angekündigten Routen anhand der Liste aller IPv4- und IPv6-IP-Präfixe überprüfen, die die öffentlichen IP-Adressbereiche von Microsoft darstellen. Diese Bereiche umfassen den vollständigen Microsoft-Adressraum und werden nur selten geändert, wodurch sie einen zuverlässigen Satz von Bereichen für die Filterung bereitstellen, der für Kunden einen zusätzlichen Schutz bietet, die besorgt sind, dass nicht von Microsoft betriebene Routen einen Weg in ihre Umgebung bieten. Falls eine Änderung erfolgt, wird diese am 1. eines Monats durchgeführt, und die Versionsnummer im Abschnitt Details der Seite ändert sich jedes Mal, wenn die Datei aktualisiert wird.

Es gibt eine Reihe von Gründen, die Verwendung der URLs und IP-Adressbereiche von Office 365 zum Generieren von Präfixfilterlisten zu vermeiden. Dazu zählen auch die folgenden Gründe:

  • Die Office 365-IP-Präfixe werden in regelmäßigen Abständen einer Vielzahl von Änderungen unterzogen.

  • Die URLs und IP-Adressbereiche von Office 365 sind für die Verwaltung von Listen zugelassener IP-Adressen der Firewall und für die Proxyinfrastruktur konzipiert, nicht für das Routing.

  • Die URLs und IP-Adressbereiche von Office 365 umfassen keine anderen Microsoft-Dienste, die für Ihre ExpressRoute-Verbindungen möglicherweise im Bereich liegen.

Option

Komplexität

Änderungssteuerung

Alle Microsoft-Routen akzeptieren

Gering: Der Kunde ist auf Microsoft-Kontrollen angewiesen, um die ordnungsgemäßen Besitzrechte für alle Routen sicherzustellen.

Keine

Von Microsoft betriebene Supernets filtern

Mittel: Der Kunde implementiert zusammengefasste Präfixfilterlisten, damit nur von Microsoft betriebene Routen zulässig sind.

Die Kunden müssen sicherstellen, dass sich die sporadischen Aktualisierungen in den Routenfiltern widerspiegeln.

Office 365-IP-Bereiche filtern

Warnung : Nicht empfohlen

Hoch: Der Kunde filtert Routen auf Basis definierter Office 365-IP-Präfixe.

Die Kunden müssen einen soliden Change Management-Prozess für die monatlichen Updates implementieren.

Achtung : Diese Lösung erfordert erhebliche fortwährende Änderungen. Nicht rechtzeitig implementierte Änderungen führen voraussichtlich zu einem Dienstausfall.

Das Herstellen einer Verbindung mit Office 365 mithilfe von Azure ExpressRoute basiert auf BGP-Ankündigungen von bestimmten IP-Subnetzen, die Netzwerke darstellen, in denen Office 365-Endpunkte bereitgestellt werden. Aufgrund der globalen Ausrichtung von Office 365 und der Anzahl von Diensten, die Office 365 ausmachen, müssen Kunden häufig die Ankündigungen verwalten, die sie in ihrem Netzwerk akzeptieren. Wenn Sie hinsichtlich der Anzahl der in Ihrer Umgebung angekündigten Präfixe besorgt sind, bietet Ihnen das Feature BGP-Community die Möglichkeit, die Ankündigungen durch Filter auf einen bestimmten Satz von Office 365-Diensten einzugrenzen. Dieses Feature befindet sich jetzt in der Vorschau.

Unabhängig davon, wie Sie die BGP-Routenankündigungen von Microsoft verwalten, ergibt sich für Office 365-Dienste im Vergleich zum alleinigen Herstellen einer Verbindung mit Office 365 über einen Internetpfad keine besondere Gefährdung. Microsoft unterhält dieselben Sicherheits-, Compliance- und Leistungsebenen unabhängig vom Typ des Pfads, über den ein Kunde eine Verbindung mit Office 365 herstellt.

Sicherheit

Microsoft empfiehlt, dass Sie Ihre eigenen Umkreiskontrollen für Netzwerk und Sicherheit für Verbindungen zu und von ExpressRoute Public sowie Microsoft-Peering verwalten, was Verbindungen zu und von Office 365-Diensten einbezieht. Sicherheitskontrollen sollten für Netzwerkanfragen eingerichtet sein, die von Ihrem Netzwerk an das Microsoft-Netzwerk gerichtet sind und umgekehrt.

Ausgehende Verbindung vom Kunden zu Microsoft

Wenn Computer eine Verbindung mit Office 365 herstellen, stellen sie unabhängig davon, ob die Verbindung über einen Internet- oder ExpressRoute-Pfad hergestellt wird, eine Verbindung mit derselben Gruppe von Endpunkten her. Unabhängig vom verwendeten Pfad empfiehlt Microsoft, dass Sie Office 365-Dienste im Vergleich zu generischen Internetzielen als vertrauenswürdiger einstufen. Ihre Sicherheitskontrollen für ausgehende Verbindungen sollten sich auf die Ports und Protokolle konzentrieren, um eine Gefährdung zu verringern und die fortwährende Wartung zu minimieren. Die erforderlichen Portinformationen finden Sie im Referenzartikel Office 365-Endpunkte.

Mithilfe der FQDN-Ebenenfilterung innerhalb Ihrer Proxyinfrastruktur können Sie für zusätzliche Kontrollen einige oder alle Netzwerkanforderungen für das Internet oder Office 365 einschränken oder untersuchen. Das Verwalten der Liste der FQDNs, während Features veröffentlicht und Office 365-Angebote entwickelt werden, erfordert ein solideres Change Management sowie das Nachverfolgen von Änderungen an den veröffentlichten Office 365-Endpunkten.

Warnung : Microsoft empfiehlt, dass Sie sich zum Verwalten der ausgehenden Sicherheit zu Office 365 nicht ausschließlich auf IP-Präfixe verlassen.

Option

Komplexität

Änderungssteuerung

Keine Einschränkungen

Gering: Der Kunde gewährt den unbeschränkten ausgehenden Zugriff auf Microsoft.

Keine

Porteinschränkungen

Gering: Der Kunde beschränkt den ausgehenden Zugriff auf Microsoft über die erwarteten Ports.

Selten

FQDN-Einschränkungen

Hoch: Der Kunde beschränkt den ausgehenden Zugriff auf Office 365 auf Basis der veröffentlichten FQDNs.

Monatliche Änderungen

Eingehende Verbindung von Microsoft zum Kunden

Es gibt mehrere optionale Szenarien, die von Microsoft das Herstellen von Verbindungen mit Ihrem Netzwerk erfordern.

Microsoft empfiehlt, dass Sie diese Verbindungen anstatt über den ExpressRoute-Pfad über Ihren Internetpfad akzeptieren, um die Komplexität zu verringern. Wenn Ihre Compliance- oder Leistungsanforderungen erfordern, dass diese eingehenden Verbindungen über den ExpressRoute-Pfad angenommen werden müssen, wird die Verwendung einer Firewall oder eines Reverseproxys empfohlen, um die angenommenen Verbindungen gründlich zu prüfen. Sie können die richtigen FQDNs und IP-Präfixe mithilfe der Office 365-Endpunkte ermitteln.

Compliance

Wir verlassen uns für keine unserer Compliance-Kontrollen auf den von Ihnen verwendeten Routingpfad. Unabhängig davon, ob Sie eine Verbindung mit Office 365-Diensten über einen ExpressRoute- oder Internetpfad herstellen, ändern sich unsere Compliance-Kontrollen nicht. Überprüfen Sie die verschiedenen Zertifizierungsstufen für Compliance und Sicherheit für Office 365, um die optimale Option zu ermitteln, den Anforderungen Ihres Unternehmens zu entsprechen.

Es folgt ein Link, mit dem Sie schnell zurückkehren können: https://aka.ms/manageexpressroute365

Verwandte Themen

Netzwerke für die Inhaltsübermittlung
URLs und IP-Adressbereiche von Office 365
Verwalten von Office 365-Endpunkten
Azure ExpressRoute für Office 365 – Schulung

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×