Gestion d’ExpressRoute pour la connectivité d’Office 365

ExpressRoute pour Office 365 offre un autre itinéraire de routage pour accéder à différents services Office 365 sans que le trafic ne soit redirigé vers Internet. Bien qu’une connexion Internet à Office 365 soit toujours requise, les itinéraires spécifiques publiés par Microsoft via BGP vers votre réseau définissent le circuit ExpressRoute direct comme itinéraire par défaut, sauf si votre réseau inclut d’autres configurations. Les trois aspects courants que vous pouvez configurer pour gérer ce routage incluent le filtrage des préfixes, la sécurité et la conformité.

Remarque : Microsoft a changé la manière dont le domaine de routage associé à l’homologation Microsoft est vérifié pour Azure ExpressRoute. Depuis le 31 juillet 2017, tous les clients Azure ExpressRoute peuvent activer l’homologation Microsoft directement à partir de la console d’administration Azure ou via PowerShell. Après avoir activé l’homologation Microsoft, les clients peuvent créer des filtres de routage afin de recevoir des annonces de routage BGP pour les applications Dynamics 365 Customer Engagement (anciennement CRM Online). Les clients qui ont besoin d’Azure ExpressRoute pour Office 365 doivent obtenir une vérification de la part de Microsoft avant de pouvoir créer des filtres de routage pour Office 365. Veuillez contacter votre équipe des comptes Microsoft pour savoir comment demander une vérification préalable à l’activation d’Office 365 ExpressRoute. Un message d’erreur s’affichera pour les abonnements non autorisés qui tenteraient de créer des filtres de routage pour Office 365.

Filtrage des préfixes

Microsoft recommande que les clients acceptent tous les itinéraires BGP tels que publiés par Microsoft. Les itinéraires fournis sont soumis à un processus de révision et de validation rigoureux, rendant tout examen approfondi superflu. ExpressRoute offre en mode natif les contrôles recommandés tels que la propriété des préfixes d’adresse IP, l’intégrité et l’échelle, sans filtrage de l’itinéraire entrant côté client.

Si vous avez besoin d’une validation supplémentaire de la propriété de l’itinéraire via l’homologation publique ExpressRoute, vous pouvez comparer les itinéraires publiés à la liste des préfixes d’adresse IPv4 et IPv6 IP correspondant aux plages d’adresses IP publiques de Microsoft. Ces plages couvrent l’espace d’adressage Microsoft complet et changent rarement. Elles fournissent un ensemble fiable de plages à utiliser pour le filtrage. Elles offrent également une protection supplémentaire aux clients s’inquiétant de la fuite éventuelle d’itinéraires n’appartenant pas à Microsoft dans leur environnement. En cas de changement, celui-ci est appliqué le premier jour du mois. Le numéro de version dans la section Détails de la page change à chaque mise à jour du fichier.

Il peut être souhaitable pour plusieurs raisons d’éviter l’utilisation des URL et plages d’adresses IP Office 365 pour générer des listes de filtrage des préfixes, notamment les suivantes :

  • Les préfixes d’adresse IP Office 365 subissent des changements fréquents.

  • Les URL et plages d’adresses IP Office 365 sont conçues pour gérer les listes autorisées du pare-feu et l’infrastructure proxy (mais pas le routage).

  • Les URL et plages d’adresses IP Office 365 ne comprennent pas les autres services Microsoft susceptibles d’être utilisés par vos connexions ExpressRoute.

Option

Complexité

Contrôle des modifications

Accepter tous les itinéraires de Microsoft

Faible : le client utilise les contrôles de Microsoft pour vérifier la propriété de tous les itinéraires.

Aucun

Filtrer les supernets détenus par Microsoft

Moyenne : le client implémente les listes de filtrage des préfixes pour autoriser uniquement les itinéraires appartenant à Microsoft.

Les clients doivent s’assurer que les mises à jour non fréquentes sont répercutées dans les filtres d’itinéraire.

Filtrer les plages d’adresses IP Office 365

Avertissement : Non recommandé

Élevée : le client filtre les itinéraires sur la base des préfixes d’adresse IP Office 365 définis.

Les clients doivent implémenter un processus robuste de gestion des modifications pour les mises à jour mensuelles.

Avertissement : Cette solution implique des modifications fréquentes et importantes. L’implémentation différée des modifications peut provoquer une panne du service.

La connexion à Office 365 à l’aide d’Azure ExpressRoute est basée sur les publications BGP des sous-réseaux IP spécifiques qui représentent les réseaux où les points de terminaison Office 365 sont déployés. En raison de la nature globale d’Office 365 et du nombre de services qui constituent Office 365, les clients doivent souvent gérer les publications qu’ils acceptent sur leur réseau. Si de nombreux préfixes sont publiés dans votre environnement, la fonctionnalité Communauté BGP vous permet de filtrer les publications à un ensemble spécifique de services Office 365. Cette fonctionnalité est disponible en version Preview pour le moment.

Quelle que soit la façon dont vous gérez les publications d’itinéraire BGP provenant de Microsoft, votre exposition auprès des services Office 365 ne sera pas véritablement différente de celle impliquée par la connexion à Office 365 sur un circuit Internet uniquement. Microsoft propose les mêmes niveaux de sécurité, de conformité et de performance, indépendamment du type de circuit utilisé par un client pour se connecter à Office 365.

Sécurité

Microsoft recommande d’utiliser vos propres contrôles du réseau et du périmètre de sécurité pour les connexions entre le service ExpressRoute public et l’homologation Microsoft, ce qui inclut les connexions entre les services Office 365. Des contrôles de sécurité doivent être mis en place pour les requêtes réseau transmises entre votre réseau et le réseau de Microsoft.

Sécurité sortante du client vers Microsoft

Lorsque les ordinateurs se connectent à Office 365, ils se connectent au même ensemble de points de terminaison, que la connexion soit établie sur un circuit Internet ou ExpressRoute. Quel que soit le circuit utilisé, Microsoft vous recommande de traiter les services Office 365 comme présentant un niveau d’approbation supérieur à celui des destinations Internet génériques. Vos contrôles de sécurité sortante doivent se concentrer sur les ports et les protocoles afin de réduire l’exposition et de minimiser la maintenance. Les informations de port requises sont disponibles dans l’article de référence Points de terminaison Office 365.

Pour renforcer les contrôles, vous pouvez utiliser le filtrage au niveau des noms de domaine complets au sein de votre infrastructure proxy pour restreindre ou inspecter une partie ou l’ensemble des requêtes réseau destinées à Internet ou Office 365. La gestion de la liste des noms de domaine complets à mesure que les fonctionnalités sont publiées et que les offres Office 365 évoluent nécessite une gestion plus robuste des modifications et le suivi des modifications apportées aux points de terminaison Office 365 publiés.

Avertissement : Microsoft vous recommande de ne pas utiliser les seuls préfixes d’adresse IP pour gérer la sécurité sortante vers Office 365

Option

Complexité

Contrôle des modifications

Aucune restriction

Faible : le client autorise l’accès sortant illimité à Microsoft.

Aucun

Restrictions de port

Faible : le client limite l’accès sortant à Microsoft par les ports prévus.

Rare.

Restrictions de nom de domaine complet

Élevée : le client limite l’accès sortant à Office 365 sur la base des noms de domaine complets publiés.

Modifications mensuelles.

Sécurité entrante de Microsoft au client

Plusieurs scénarios facultatifs peuvent nécessiter l’établissement par Microsoft de connexions à votre réseau.

Microsoft vous conseille d’accepter ces connexions sur votre circuit Internet plutôt que votre circuit ExpressRoute afin de réduire la complexité. Si vos besoins en matière de conformité ou de performance nécessitent que ces connexions entrantes soient acceptées sur un circuit ExpressRoute, il est recommandé d’utiliser un pare-feu ou un proxy inverse pour délimiter les connexions acceptées. Vous pouvez utiliser les points de terminaison Office 365 pour déterminer les noms de domaine complets et les préfixes d’adresse IP appropriés.

Conformité

Nos contrôles de conformité ne sont pas basés sur l’itinéraire de routage que vous utilisez. Que vous vous connectiez aux services Office 365 sur un circuit ExpressRoute ou sur Internet, nos contrôles de conformité ne changent pas. Vous devez passer en revue les différents niveaux de certification de la conformité et de la sécurité appliqués à Office 365 pour déterminer l’option adaptée aux besoins de votre organisation.

Vous pouvez utiliser ce lien pour revenir : https://aka.ms/manageexpressroute365

Rubriques connexes

Réseaux de distribution de contenu
URL et plages d’adresses IP Office 365
Gestion des points de terminaison Office 365
Formation Azure ExpressRoute pour Office 365

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×