Gestion des points de terminaison Office 365

Connectivité réseau à Office 365

5/9/2017 Les connexions à Office 365 sont composées d’un grand nombre de requêtes réseau approuvées qui fonctionnent de manière optimale avec une faible latence. Voici quelques tâches courantes vous permettant d’optimiser ces connexions dans votre environnement.

  1. Gestion des listes vertes de pare-feu pour établir une connectivité directe aux points de terminaison Office 365.

  2. Gestion de la sortie réseau vers Office 365 et des services tiers via des fichiers PAC de proxy.

  3. Configuration et gestion de l’intégration d’un réseau de périmètre.

Connexion à Office 365 via des pare-feu et des proxys.

Mettre à jour les listes vertes sortantes de votre pare-feu

Vous pouvez optimiser votre réseau en envoyant toutes les requêtes réseau Office 365 approuvées directement via votre pare-feu, en contournant toutes les tâches d’inspection ou de traitement supplémentaires des paquets. Cela réduit la dégradation des performances due à la latence et réduit vos besoins de périmètre. Le plus simple pour choisir les demandes réseau auxquelles faire confiance consiste à utiliser nos fichiers PAC prédéfinis dans l’onglet Proxys ci-dessus.

Si votre pare-feu bloque le trafic sortant, assurez-vous que toutes les adresses IP et tous les noms de domaine complets répertoriés dans ce fichier XML sont dans la liste d’adresses autorisées. Identifiez tous les services qui nécessitent l’utilisation de services tiers. Nous ne fournissons aucune adresse IP pour ces services tiers, tels que des fournisseurs de certificats, les réseaux de distribution de contenu, les fournisseurs, etc.

Automatisez votre processus à l’aide d’un pare-feu qui analyse le fichier XML et met à jour vos règles automatiquement ou utilisez l’outil Azure Range développé par la communauté. Celui-ci analyse automatiquement le code XML et inclut des options d’exportation pour Cisco XE Route, la configuration de listes de contrôle d’accès, le format texte brut ou CSV.

Une explication plus complète des destinations réseau est disponible sur notre site de référence, ainsi que sur notre journal des modifications au format RSS, afin que vous puissiez vous abonner aux modifications.

Configurer les chemins d’accès sortants avec les fichiers PAC

Utilisez les fichiers PAC ou WPAD pour gérer les requêtes réseau associées à Office 365, mais pour lesquelles aucune adresse IP n’a été fournie. En règle générale, les requêtes réseau envoyées via un périphérique de proxy ou de périmètre génèrent une latence supplémentaire. De plus, ces périphériques réseau de périmètre ont besoin de suffisamment de ressources pour traiter toutes les requêtes réseau. Nous vous recommandons de contourner votre infrastructure de proxy ou d’inspection pour les requêtes réseau Office 365 directes.

Utilisez un de nos fichiers PAC comme point de départ pour identifier le trafic réseau envoyé à un proxy et celui envoyé à un pare-feu. Si vous n’êtes pas familiarisé avec l’utilisation des fichiers PAC ou WPAD, lisez cette publication concernant le déploiement des fichiers PAC rédigé par l’un de nos consultants Office 365.

Mise à jour des fichiers PAC le 5/9/2017.

Ce premier exemple est une démonstration de l’approche recommandée pour la gestion des points de terminaison sur Internet uniquement. Ignore le proxy pour les destinations Office 365 dans lesquelles l’adresse IP est publiée et envoie les autres requêtes réseau au proxy.

Extrait de code :

// JavaScript source code

//September 2017 - Updates go live 1st Sept 2017
//This PAC file contains all FQDNs needed for all services and splits the traffic between those which Microsoft can provide IPs for (so can be sent through a managed firewall with conditional access) and those which IPs cannot be provided for, so need to go to an unrestricted proxy or egress. 
//Due to the use of wildcards, some extra logic is provided to send traffic to the proxy before a 'direct' wildcard is hit.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    var proxyserver2 = "PROXY 10.10.10.11:8080"
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    //Catch explicit FQDNs which need the proxy but are covered under wildcarded FQDNs which have IPs. This has to be done first before the wildcard is hit

    if ((shExpMatch(host, "browser.pipe.aria.microsoft.com")) 
        || (shExpMatch(host, "compliance.outlook.com"))       
        || (shExpMatch(host, "mobile.pipe.aria.microsoft.com"))
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "r1.res.office365.com")) 
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "r3.res.outlook.com"))
        || (shExpMatch(host, "xsi.outlook.com")))

    {
        return proxyserver;
    }
        //Send FQDNs which Microsoft provide IPs for direct, so they can be sent via a firewall

    else if ((isPlainHostName(host))
    || (shExpMatch(host, "*.asm.skype.com"))
    || (shExpMatch(host, "*.broadcast.skype.com"))
    || (shExpMatch(host, "*.cc.skype.com"))
    || (shExpMatch(host, "*.config.skype.com"))
    || (shExpMatch(host, "*.conv.skype.com"))
    || (shExpMatch(host, "*.dc.trouter.io"))
    || (shExpMatch(host, "*.infra.lync.com"))
    || (shExpMatch(host, "*.lync.com"))
    || (shExpMatch(host, "*.msg.skype.com"))
    || (shExpMatch(host, "*.office365.com"))
    || (shExpMatch(host, "*.outlook.com"))
    || (shExpMatch(host, "*.outlook.office.com"))
    || (shExpMatch(host, "*.pipe.aria.microsoft.com"))
    || (shExpMatch(host, "*.pipe.skype.com"))
    || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
    || (shExpMatch(host, "*.sharepoint.com"))
    || (shExpMatch(host, "*.skypeforbusiness.com"))
    || (shExpMatch(host, "*.svc.ms"))
    || (shExpMatch(host, "*.teams.microsoft.com"))
    || (shExpMatch(host, "*.teams.skype.com"))
    || (shExpMatch(host, "*.yammer.com"))
    || (shExpMatch(host, "*.yammerusercontent.com"))
    || (shExpMatch(host, "*broadcast.officeapps.live.com"))
    || (shExpMatch(host, "*excel.officeapps.live.com"))
    || (shExpMatch(host, "*onenote.officeapps.live.com"))
    || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
    || (shExpMatch(host, "*view.officeapps.live.com"))
    || (shExpMatch(host, "*visio.officeapps.live.com"))
    || (shExpMatch(host, "*word-edit.officeapps.live.com"))
    || (shExpMatch(host, "*word-view.officeapps.live.com"))    
    || (shExpMatch(host, "account.office.net"))
    || (shExpMatch(host, "adminwebservice.microsoftonline.com"))
    || (shExpMatch(host, "agent.office.net"))
    || (shExpMatch(host, "apc.delve.office.com"))
    || (shExpMatch(host, "api.login.microsoftonline.com"))
    || (shExpMatch(host, "aus.delve.office.com"))
    || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))    
    || (shExpMatch(host, "can.delve.office.com"))
    || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
    || (shExpMatch(host, "clientlog.portal.office.com"))
    || (shExpMatch(host, "config.edge.skype.com"))
    || (shExpMatch(host, "controls.office.com"))
    || (shExpMatch(host, "cus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "delve.office.com"))
    || (shExpMatch(host, "device.login.microsoftonline.com"))    
    || (shExpMatch(host, "ea-000.tasks.osi.office.net"))
    || (shExpMatch(host, "eur.delve.office.com"))
    || (shExpMatch(host, "eus-000.www.sway.com"))
    || (shExpMatch(host, "eus-001.www.sway.com"))
    || (shExpMatch(host, "eus-002.www.sway.com"))
    || (shExpMatch(host, "eus-003.www.sway.com"))
    || (shExpMatch(host, "eus-004.www.sway.com"))
    || (shExpMatch(host, "eus-005.www.sway.com"))
    || (shExpMatch(host, "eus-006.www.sway.com"))
    || (shExpMatch(host, "eus-007.www.sway.com"))
    || (shExpMatch(host, "eus-008.www.sway.com"))
    || (shExpMatch(host, "eus-009.www.sway.com"))
    || (shExpMatch(host, "eus-00a.www.sway.com"))
    || (shExpMatch(host, "eus-00b.www.sway.com"))
    || (shExpMatch(host, "eus-00c.www.sway.com"))
    || (shExpMatch(host, "eus-00d.www.sway.com"))
    || (shExpMatch(host, "eus-00e.www.sway.com"))
    || (shExpMatch(host, "eus-www.sway.com"))
    || (shExpMatch(host, "eus-zzz.tasks.osi.office.net"))
    || (shExpMatch(host, "gbr.delve.office.com"))
    || (shExpMatch(host, "hip.microsoftonline-p.net"))
    || (shExpMatch(host, "hipservice.microsoftonline.com"))
    || (shExpMatch(host, "home.office.com"))
    || (shExpMatch(host, "ind.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "kor.delve.office.com"))
    || (shExpMatch(host, "lam.delve.office.com"))
    || (shExpMatch(host, "login.microsoft.com"))
    || (shExpMatch(host, "login.microsoftonline.com"))
    || (shExpMatch(host, "login.microsoftonline-p.com"))
    || (shExpMatch(host, "login.windows.net"))
    || (shExpMatch(host, "logincert.microsoftonline.com"))
    || (shExpMatch(host, "loginex.microsoftonline.com"))
    || (shExpMatch(host, "login-us.microsoftonline.com"))     
    || (shExpMatch(host, "nam.delve.office.com"))
    || (shExpMatch(host, "neu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "nexus.microsoftonline-p.com"))
    || (shExpMatch(host, "nexus.officeapps.live.com"))
    || (shExpMatch(host, "nexusrules.officeapps.live.com"))
    || (shExpMatch(host, "pipe.skype.com"))
    || (shExpMatch(host, "portal.microsoftonline.com"))
    || (shExpMatch(host, "portal.office.com"))
    || (shExpMatch(host, "prod.registrar.skype.com"))
    || (shExpMatch(host, "prod.tpc.skype.com"))
    || (shExpMatch(host, "provisioningapi.microsoftonline.com"))
    || (shExpMatch(host, "s-0001.s-msedge.net"))
    || (shExpMatch(host, "s-0004.s-msedge.net"))
    || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net"))   
    || (shExpMatch(host, "sea-000.tasks.osi.office.net"))    
    || (shExpMatch(host, "signup.microsoft.com"))
    || (shExpMatch(host, "stamp2.login.microsoftonline.com"))
    || (shExpMatch(host, "suite.office.net"))
    || (shExpMatch(host, "sway.com"))
    || (shExpMatch(host, "tasks.office.com"))
    || (shExpMatch(host, "teams.microsoft.com"))
    || (shExpMatch(host, "testconnectivity.microsoft.com"))
    || (shExpMatch(host, "weu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "wus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "wus-000.www.sway.com"))
    || (shExpMatch(host, "wus-001.www.sway.com"))
    || (shExpMatch(host, "wus-002.www.sway.com"))
    || (shExpMatch(host, "wus-003.www.sway.com"))
    || (shExpMatch(host, "wus-004.www.sway.com"))
    || (shExpMatch(host, "wus-005.www.sway.com"))
    || (shExpMatch(host, "wus-006.www.sway.com"))
    || (shExpMatch(host, "wus-007.www.sway.com"))
    || (shExpMatch(host, "wus-008.www.sway.com"))
    || (shExpMatch(host, "wus-009.www.sway.com"))
    || (shExpMatch(host, "wus-00a.www.sway.com"))
    || (shExpMatch(host, "wus-00b.www.sway.com"))
    || (shExpMatch(host, "wus-00c.www.sway.com"))
    || (shExpMatch(host, "wus-00d.www.sway.com"))
    || (shExpMatch(host, "wus-00e.www.sway.com"))
    || (shExpMatch(host, "wus-www.sway.com"))
    || (shExpMatch(host, "www.office.com"))
    || (shExpMatch(host, "www.sway.com")))
      
    {
        return "DIRECT";
    }
    else

        // Send all unknown IP traffic to Proxy for unrestricted access. This section is not necessary if you have a catchall for all other traffic to go to an unfiltered proxy. 
        //However the fqdns required, but for which we dont have IPs for, are listed here incase you need an explicit list.

    if ((shExpMatch(host, "*.aadrm.com")) 
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "*.adhybridhealth.azure.com"))    
        || (shExpMatch(host, "*.api.microsoftstream.com"))   
        || (shExpMatch(host, "*.api.skype.com"))
        || (shExpMatch(host, "*.assets-yammer.com"))   
        || (shExpMatch(host, "*.azurerms.com")) 
        || (shExpMatch(host, "*.azureedge.net"))            
        || (shExpMatch(host, "*.cloudapp.net")) 
        || (shExpMatch(host, "*.entrust.net")) 
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.helpshift.com"))   
        || (shExpMatch(host, "*.hockeyapp.net"))    
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    
        || (shExpMatch(host, "*.microsoft.com"))
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))
        || (shExpMatch(host, "*.msedge.net"))      
        || (shExpMatch(host, "*.msocdn.com"))   
        || (shExpMatch(host, "*.office.com"))   
        || (shExpMatch(host, "*.office.net")) 
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.secure.skypeassets.com"))  
        || (shExpMatch(host, "*.sfbassets.com"))
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))     
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))
        || (shExpMatch(host, "*.windows.net"))
        || (shExpMatch(host, "ad.atdmt.com")) 
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "ajax.aspnetcdn.com")) 
        || (shExpMatch(host, "aka.ms"))
        || (shExpMatch(host, "amp.azure.net")) 
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "broadcast.skype.com")) 
        || (shExpMatch(host, "cacerts.digicert.com"))        
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "compliance.outlook.com"))   
        || (shExpMatch(host, "connect.facebook.net"))        
        || (shExpMatch(host, "crl.globalsign.com"))
        || (shExpMatch(host, "crl3.digicert.com"))  
        || (shExpMatch(host, "crl4.digicert.com")) 
        || (shExpMatch(host, "dc.services.visualstudio.com")) 
        || (shExpMatch(host, "domains.live.com"))
        || (shExpMatch(host, "ecn.dev.virtualearth.net "))   
        || (shExpMatch(host, "eus-www.sway-cdn.com"))
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "firstpartyapps.oaspapps.com")) 
        || (shExpMatch(host, "graph.skype.com"))   
        || (shExpMatch(host, "groupsapi2-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi3-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi4-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi-prod.outlookgroups.ms")) 
        || (shExpMatch(host, "latest-swx.cdn.skype.com")) 
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com")) 
        || (shExpMatch(host, "management.azure.com"))        
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "ocsp.globalsign.com"))
        || (shExpMatch(host, "ocsp.msocsp.com"))       
        || (shExpMatch(host, "ocsp2.globalsign.com"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com")) 
        || (shExpMatch(host, "pipe.skype.com")) 
        || (shExpMatch(host, "platform.linkedin.com"))
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))
        || (shExpMatch(host, "prod.firstpartyapps.oaspapps.com.akadns.net")) 
        || (shExpMatch(host, "r1.res.office365.com"))
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "s.ytimg.com")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "secure.aadcdn.microsoftonline-p.com"))
        || (shExpMatch(host, "secure.globalsign.com")) 
        || (shExpMatch(host, "skydrive.wns.windows.com")) 
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))   
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))  
        || (shExpMatch(host, "staffhub.ms"))
        || (shExpMatch(host, "staffhub.uservoice.com"))               
        || (shExpMatch(host, "swx.cdn.skype.com"))  
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))         
        || (shExpMatch(host, "telemetryservice.firstpartyapps.oaspapps.com"))    
        || (shExpMatch(host, "web.microsoftstream.com"))         
        || (shExpMatch(host, "wus-firstpartyapps.oaspapps.com"))  
        || (shExpMatch(host, "wus-www.sway-cdn.com"))
        || (shExpMatch(host, "wus-www.sway-extensions.com"))  
        || (shExpMatch(host, "xsi.outlook.com"))
        || (shExpMatch(url, "http://apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(url, "http://cert.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://crl.identrust.com/DSTROOTCAX3CRL.crl"))
        || (shExpMatch(url, "http://isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(url, "http://ocsp.digicert.com"))
        || (shExpMatch(url, "http://ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://ocsp.msocsp.com"))
        || (shExpMatch(url, "http://ocspx.digicert.com"))   
        || (shExpMatch(url, "https://assets.onestore.ms/cdnfiles/external/"))   
        || (shExpMatch(url, "https://cdn.optimizely.com/js/"))  
        || (shExpMatch(url, "https://nps.onyx.azure.net"))
        || (shExpMatch(url, "https://web.localytics.com/v3/localytics.js"))  
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertGlobalRootCA.crt"))
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertHighAssuranceEVRootCA.crt"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com"))
        || (shExpMatch(host, "www.youtube.com")))
        

    {
        return proxyserver;
    }

    //Catchall for all other traffic to another proxy 

else return proxyserver;
}

Le deuxième exemple est une démonstration de l’approche recommandée pour la gestion des connexions lorsque des circuits ExpressRoute et Internet sont disponibles. Envoie les destinations ExpressRoute au circuit ExpressRoute et les destinations Internet uniquement au proxy.

Extrait de code :

// JavaScript source code
//September 2017 Update
// Consolidated FQDNs of URLS which are reachable via Microsoft peering over ExpressRoute. All other traffic sent to a proxy in this example. 
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your traffic flow needs and the Office 365 URL & IP page. 
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;
    //SUB-FQDNs of ExpressRoutable wildcards which need to be explicitly sent to the proxy at the top of the PAC because they arent ER routable
    if ((shExpMatch(host, "*.click.email.microsoftonline.com"))
        || (shExpMatch(host, "*.portal.microsoftonline.com")))					
    {
        return proxyserver;
    }
        //EXPRESS ROUTE DIRECT
    else if ((isPlainHostName(host))
            || (shExpMatch(host, "*.asm.skype.com"))
            || (shExpMatch(host, "*broadcast.officeapps.live.com"))
            || (shExpMatch(host, "*.cc.skype.com"))
            || (shExpMatch(host, "*.config.skype.com"))    
            || (shExpMatch(host, "*.conv.skype.com"))
            || (shExpMatch(host, "*.dc.trouter.io"))
            || (shExpMatch(host, "*excel.officeapps.live.com"))
            || (shExpMatch(host, "*.lync.com"))	
            || (shExpMatch(host, "*.microsoftonline.com"))
            || (shExpMatch(host, "*.msg.skype.com"))
            || (shExpMatch(host, "*onenote.officeapps.live.com"))
            || (shExpMatch(host, "*.outlook.office.com"))
            || (shExpMatch(host, "*.pipe.skype.com")) 
            || (shExpMatch(host, "*.pipe.aria.microsoft.com")) 
            || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
            || (shExpMatch(host, "*.protection.outlook.com"))						
            || (shExpMatch(host, "*.sharepoint.com")) 
            || (shExpMatch(host, "*.skypeforbusiness.com")) 
            || (shExpMatch(host, "*.svc.ms"))   
            || (shExpMatch(host, "*.teams.microsoft.com"))  
            || (shExpMatch(host, "*.teams.skype.com"))  
            || (shExpMatch(host, "*view.officeapps.live.com"))                                 
            || (shExpMatch(host, "*visio.officeapps.live.com"))
            || (shExpMatch(host, "*word-view.officeapps.live.com"))
            || (shExpMatch(host, "*word-edit.officeapps.live.com"))	
            || (shExpMatch(host, "autodiscover-*.outlook.com"))				
            || (shExpMatch(host, "apc.delve.office.com"))
            || (shExpMatch(host, "aus.delve.office.com"))
            || (shExpMatch(host, "account.office.net"))
            || (shExpMatch(host, "agent.office.net"))  
            || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))  
            || (shExpMatch(host, "can.delve.office.com"))
            || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
            || (shExpMatch(host, "config.edge.skype.com"))
            || (shExpMatch(host, "delve.office.com"))
            || (shExpMatch(host, "domains.live.com")) 
            || (shExpMatch(host, "eur.delve.office.com"))
            || (shExpMatch(host, "gbr.delve.office.com"))
            || (shExpMatch(host, "hip.microsoftonline-p.net"))
            || (shExpMatch(host, "home.office.com"))
            || (shExpMatch(host, "ind.delve.office.com"))
            || (shExpMatch(host, "jpn.delve.office.com"))
            || (shExpMatch(host, "kor.delve.office.com"))
            || (shExpMatch(host, "lam.delve.office.com"))
            || (shExpMatch(host, "login.microsoftonline-p.net"))				
            || (shExpMatch(host, "login.windows.net"))						
            || (shExpMatch(host, "login.microsoft.com"))
            || (shExpMatch(host, "nam.delve.office.com"))
            || (shExpMatch(host, "nexus.microsoftonline-p.net"))
            || (shExpMatch(host, "outlook.office365.com")) 
            || (shExpMatch(host, "pipe.skype.com"))	
            || (shExpMatch(host, "portal.office.com"))
            || (shExpMatch(host, "prod.registrar.skype.com"))
            || (shExpMatch(host, "prod.tpc.skype.com"))
            || (shExpMatch(host, "s-0001.s-msedge.net"))
            || (shExpMatch(host, "s-0004.s-msedge.net"))
            || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net"))
            || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net"))  
            || (shExpMatch(host, "signup.microsoft.com"))
            || (shExpMatch(host, "smtp.office365.com"))  
            || (shExpMatch(host, "suite.office.net")) 
            || (shExpMatch(host, "teams.microsoft.com"))  
            || (shExpMatch(host, "www.outlook.com"))   						
            || (shExpMatch(host, "www.office.com")))



       
    {
        return "DIRECT";
    }

        // If Azure public peering is available the following can be added to the Expressroute section above and sent direct via ER. If not these can be sent via the internet i.e delete them from the PAC file.
       
        //*.adhybridhealth.azure.com
        //*.cloudapp.net
        //*.blob.core.windows.net
        //*.hybridconfiguration.azurewebsites.net
        //*.keydelivery.mediaservices.windows.net
        //*.queue.core.windows.net
        //*.servicebus.windows.net - Port: 5671 (If 5671 is blocked, agent falls back to 443, but using 5671 is recommended.)
        //*.store.core.windows.net
        //*.streaming.mediaservices.windows.net
        //*.table.core.windows.net
        //compliance.outlook.com
        //dc.services.visualstudio.com
        //equivio.office.com
        //equivioprod*.cloudapp.net
        //hybridconfiguration.azurewebsites.net
        //liverdcxstorage.blob.core.windowsazure.com//
        //management.azure.com
        //mshrcstorageprod.blob.core.windows.net
        //office365servicehealthcommunications.cloudapp.net
        //office365zoom.cloudapp.net
        //policykeyservice.dc.ad.msft.net
        //protection.office.com
        //secure.aadcdn.microsoftonline-p.com
        //telemetry.remoteapp.windowsazure.com
        //vortex.data.microsoft.com
        //www.remoteapp.windowsazure.com
        //zoom-cs-prod*.cloudapp.net



        //Catchall for all other traffic to proxy
    else
    {
        return proxyserver;
    }
}

Le troisième exemple illustre la redirection de toutes les requêtes réseau associées à Office 365 à une seule destination. Cette configuration est généralement utilisée pour ignorer toutes les inspection des requêtes réseau d’Office 365 et vous offre également un format dans lequel tous les points de terminaison publiés se trouvent dans une liste au format PAC à utiliser pour vos personnalisations.

Extrait de code :

// JavaScript source code
//September 2017 Update new URLS go live 1st Sept 2017 - Some URLs may have been removed from this file from previous versions as they are no longer required.
//Consolidated FQDNs required to access Office 365 - All services including optional components covered and elements covered under wildcards removed. 
//Some repeated domains have been consoliodated into unpublished wildcards in order to keep the file as small as possible.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    if ((shExpMatch(host, "*.adhybridhealth.azure.com"))
        || (shExpMatch(host, "*.api.microsoftstream.com"))  
        || (shExpMatch(host, "*.api.skype.com"))  
        || (shExpMatch(host, "*.asm.skype.com"))     
        || (shExpMatch(host, "*.assets-yammer.com"))
        || (shExpMatch(host, "*.azureedge.net"))   
        || (shExpMatch(host, "*.broadcast.skype.com"))
        || (shExpMatch(host, "*.cc.skype.com")) 
        || (shExpMatch(host, "*.cdn.skype.com")) 	
        || (shExpMatch(host, "*.config.skype.com")) 
        || (shExpMatch(host, "*.conv.skype.com"))
        || (shExpMatch(host, "*.crl.entrust.net"))
        || (shExpMatch(host, "*.dc.trouter.io"))
        || (shExpMatch(host, "*.digicert.com"))
        || (shExpMatch(host, "*.entrust.net")) 	        
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.giphy.com")) 
        || (shExpMatch(host, "*.globalsign.com"))
        || (shExpMatch(host, "*.helpshift.com")) 
        || (shExpMatch(host, "*.hockeyapp.net"))       							
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    	
        || (shExpMatch(host, "*.lync.com"))
        || (shExpMatch(host, "*.microsoft.com"))				
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))	
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))	
        || (shExpMatch(host, "*.msedge.net"))
        || (shExpMatch(host, "*.msg.skype.com")) 					
        || (shExpMatch(host, "*.msocdn.com"))
        || (shExpMatch(host, "*.notification.api.microsoftstream.com"))	
        || (shExpMatch(host, "*.ocsp.omniroot.com"))    			
        || (shExpMatch(host, "*.office365.com"))
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.office.com"))	
        || (shExpMatch(host, "*.office.net"))
        || (shExpMatch(host, "*.officeapps.live.com"))		 
        || (shExpMatch(host, "*.onenote.com"))				
        || (shExpMatch(host, "*.outlook.com"))	
        || (shExpMatch(host, "*.outlookgroups.ms"))  
        || (shExpMatch(host, "*.oaspapps.com"))
        || (shExpMatch(host, "*.pipe.skype.com")) 			
        || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.sfbassets.com"))  
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sharepoint.com"))	
        || (shExpMatch(host, "*.skypeforbusiness.com"))	
        || (shExpMatch(host, "*.streaming.mediaservices.windows.net"))	
        || (shExpMatch(host, "*.svc.ms")) 	
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))
        || (shExpMatch(host, "*.teams.skype.com"))
        || (shExpMatch(host, "*.users.storage.live.com"))
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))				
        || (shExpMatch(host, "*.windows.net"))	
        || (shExpMatch(host, "*.yammer.com"))	
        || (shExpMatch(host, "*.yammerusercontent.com"))         
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "aka.ms"))	
        || (shExpMatch(host, "ajax.aspnetcdn.com"))
        || (shExpMatch(host, "amp.azure.net"))	
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "c.bing.net"))
        || (shExpMatch(host, "cert.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "client.hip.live.com"))     
        || (shExpMatch(host, "config.edge.skype.com"))
        || (shExpMatch(host, "connect.facebook.net"))
        || (shExpMatch(host, "crl.identrust.com/DSTROOTCAX3CRL.crl"))	
        || (shExpMatch(host, "dc.services.visualstudio.com"))	
        || (shExpMatch(host, "equivioprod*.cloudapp.net"))  
        || (shExpMatch(host, "eus-www.sway-cdn.com"))	
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "graph.skype.com"))
        || (shExpMatch(host, "hybridconfiguration.azurewebsites.net"))  
        || (shExpMatch(host, "isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com"))					
        || (shExpMatch(host, "management.azure.com"))
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "nps.onyx.azure.net"))   
        || (shExpMatch(host, "ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "ocsp.msocsp.com"))     
        || (shExpMatch(host, "ocsp.omniroot.com"))     
        || (shExpMatch(host, "office365servicehealthcommunications.cloudapp.net"))	
        || (shExpMatch(host, "office365zoom.cloudapp.net"))
        || (shExpMatch(host, "officecdn.microsoft.com.edgesuite.net"))
        || (shExpMatch(host, "officecdn.microsoft.com.edgekey.net"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com"))
        || (shExpMatch(host, "pipe.skype.com"))	
        || (shExpMatch(host, "platform.linkedin.com"))										
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))				
        || (shExpMatch(host, "prod.registrar.skype.com")) 
        || (shExpMatch(host, "prod.tpc.skype.com")) 
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "s-0001.s-msedge.net")) 
        || (shExpMatch(host, "s-0004.s-msedge.net"))   
        || (shExpMatch(host, "s0.assets-yammer.com"))  
        || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "skydrive.wns.windows.com"))
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))		
        || (shExpMatch(host, "ssw.live.com"))
        || (shExpMatch(host, "staffhub.ms))
        || (shExpMatch(host, "staffhub.uservoice.com"))    
        || (shExpMatch(host, "storage.live.com"))				
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))	
        || (shExpMatch(host, "tse1.mm.bing.net"))     
        || (shExpMatch(host, "web.microsoftstream.com"))     
        || (shExpMatch(host, "wus-www.sway-cdn.com"))						
        || (shExpMatch(host, "wus-www.sway-extensions.com"))        
        || (shExpMatch(host, "wu.client.hip.live.com"))     
        || (shExpMatch(host, "www.bing.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com"))
        || (shExpMatch(host, "zoom-cs-prod*.cloudapp.net")))


    {
        return proxyserver;
    }

        //Catchall for all other traffic to another proxy

    else return "PROXY 10.10.10.11:8080";
}

Voici quelques outils développés par les membres de la communauté. Si vous aussi vous avez développé un outil que vous aimeriez partager, n’hésitez pas à nous laisser un commentaire. Aucun outil de la communauté mentionné dans cet article n’est officiellement pris en charge ou géré par Microsoft. Ceux-ci sont fournis ici pour vous aider.

  • Voici l’outil le plus ancien généré par la Communauté pour vous aider à gérer le processus. L’outil créé par un membre de la communauté Office 365. Voici les instructions et le téléchargement.

  • Preuve de concept avec des règles de pare-feu exportables : Microsoft Cloud IP API.

  • Par IT Praktyk : Instructions, conversion RSS et conversion XML.

  • Par Peter Abele : téléchargement.

  • Utilisez l’analyse de votre réseau pour identifier les requêtes réseau qui doivent contourner votre infrastructure proxy. Les noms de domaine complets suivants sont couramment utilisés pour contourner les proxys client en raison du volume du trafic réseau envoyé et reçu à partir de ces points de terminaison :

    outlook.office365.com
    outlook.office.com
    <tenant-name>.sharepoint.com
    <tenant-name>-my.sharepoint.com
    <tenant-name>-<app>.sharepoint.com
    *.Lync.com
    
  • Vérifiez que les requêtes réseau envoyées directement à votre pare-feu ont une entrée correspondante dans la liste verte du pare-feu pour permettre la transmission des requêtes.

Intégration d’un réseau de périmètre

Saviez-vous que le réseau étendu (WAN) de Microsoft était l’une des dorsales principales dans le monde ?

Ce gigantesque réseau assure le fonctionnement d’Office 365 et de nos autres services cloud, quel que soit l’endroit où vous vous trouvez dans le monde. Les caractéristiques de notre réseau sont les suivantes : une bande passante élevée, une faible latence, des liens ayant une capacité de basculement avec des kilomètres de fibre optique noire privées et des connexions à plusieurs téraoctets entre les centres de données et les nœuds de périmètre. Toutes ces caractéristiques facilitent l’utilisation de nos services cloud.

Avec un réseau de cette envergure, vous vous attendez à ce que les appareils de votre organisation puissent se connecter à notre réseau en un clin d’œil. Avec plus de 2 500 relations d’homologation avec des fournisseurs de services Internet dans le monde entier et 70 points de présence, l’accès depuis votre réseau à nos réseaux devrait être transparent. En quelques minutes, vous pouvez vous assurer que la relation d’homologation de votre fournisseur de services Internet est optimale. Voici quelques exemples de bonnes et de mauvaises configurations d’homologation à notre réseau.

En fonction de votre équipement, vous pouvez configurer manuellement ou automatiquement les appareils sur votre réseau de manière à ce qu’ils traitent de manière optimale les requêtes réseau des applications Office 365. Les modifications à apporter à votre configuration pour garantir un trafic réseau Office 365 optimal dépendent de votre environnement. Les requêtes réseau Office 365 peuvent tirer parti des configurations réseau qui ont les comportements suivants :

  • Priorité sur le trafic réseau d’importance moins élevée.

  • Routage vers une sortie locale afin d’éviter la création d’un réseau de backhaul via un lien WAN lent tout en tirant partie de la faible latence disponible sur le réseau Microsoft. Voici une discussion pertinente sur la base d’engagements de clients.

  • Exclusion de l’inspection approfondie des paquets ou d’autres traitements des paquets réseau nécessitant une quantité de ressources élevée afin de respecter les exigences de latence à grande échelle.

Les périphériques réseau modernes incluent des fonctionnalités permettant de gérer différemment les requêtes réseau pour les applications approuvées, telles qu’Office 365, par rapport à la manière dont ils gèrent le trafic Internet standard non approuvé. Grâce à l’arrivée récente de solutions SD-WAN, une telle différentiation du trafic et la sélection de chemins d’accès peut également être effectuée en connaissant l’évolution de l’état du réseau, telle que la disponibilité à un moment donné et la latence ou les performances de divers chemins d’accès de connectivité entre l’utilisateur et le cloud.

Pour obtenir des conseils supplémentaires sur la planification de votre configuration réseau, voir Planification du réseau et de la migration pour Office 365, Plan de résolution des problèmes de performances pour Office 365 et Liste de contrôle de planification du déploiement d’Office 365.

Pour implémenter ce scénario :

Demandez à votre fournisseur de services ou de solutions réseau s’il peut utiliser les définitions d’adresses IP ou d’URL Office 365 du fichier XML pour faciliter la sortie réseau locale à faible charge (à destination de l’utilisateur) pour le trafic Office 365, gérer ses priorités par rapport à d’autres applications et ajuster le chemin d’accès réseau pour les connexions Office 365 au réseau Microsoft en fonction de l’état du réseau. Certaines solutions téléchargent et automatisent la définition des fichiers XML d’adresses IP et d’URL Office 365 dans leurs piles.

Veillez à ce que la solution implémentée possède un degré de résilience adapté, dispose d’une redondance géographique du chemin d’accès réseau appropriée au trafic Office 365 et reçoive les modifications apportées aux URL et adresses IP Office 365 lorsqu’elles sont publiées.

Questions fréquemment posées par les administrateurs concernant la connectivité :

Cliquez sur le lien situé au bas de la page pour indiquer si l’article vous a été utile ou non, mais également pour poser d’autres questions. Nous surveillons les commentaires et mettons à jour les questions contenues dans cet article avec celles que les clients nous posent le plus fréquemment.

Lorsque de nouveaux points de terminaison sont annoncés, il y a généralement une période tampon de 30 jours avant qu’ils ne soient actifs et que les requêtes réseau soient redirigés vers eux. Cette période tampon vous permet de vous assurer que les clients et les partenaires aient la possibilité de mettre à jour leurs systèmes. Les ajouts et suppressions de noms de domaine complets et de préfixes d’adresses IP sont traités dans le fichier XML en même temps que l’annonce, le nouveau nom de domaine complet se trouve donc dans le fichier XML 30 jours avant son utilisation. Dans la mesure où nous arrêtons d’envoyer des requêtes réseau aux points de terminaison avant l’annonce de leur suppression, lorsque nous supprimons le point de terminaison du fichier XML au moment de l’annonce, il n’est déjà plus utilisé.

Les points de terminaison Office 365 sont publiés à la fin de chaque mois avec un préavis de 30 jours. Parfois, des modifications ont lieu plusieurs fois par mois ou dans des périodes plus courtes. Lors de l’ajout d’un point de terminaison, la date de prise d’effet répertoriée dans le flux RSS est celle après laquelle les requêtes réseau sont envoyées au point de terminaison. Si vous utilisez les flux RSS pour la première fois, voici comment vous abonner via Outlook. Vous pouvez également recevoir les mises à jour du flux RSS par courrier.

Lorsque vous être inscrit au flux RSS, vous pouvez analyser les informations vous-même ou à l’aide d’un script. Le tableau suivant décrit le format du flux RSS.

Section

Partie 1

Partie 2

Partie 3

Partie 4

Partie 5

Partie 6

Description

Nombre

Date après laquelle vous pouvez attendre l’envoi de requêtes réseau au point de terminaison.

Description de base de la fonctionnalité ou du service nécessitant le point de terminaison.

Pouvez-vous vous connecter à ce point de terminaison sur un circuit ExpressRoute en plus d’Internet ?

Oui : vous pouvez vous connecter à ce point de terminaison sur Internet et ExpressRoute.

Non : vous ne pouvez vous connecter à ce point de terminaison que sur Internet.

Nom de domaine complet ou plage d’adresses IP de destination en cours d’ajout ou de suppression.

Exemple

1/

[Effectif le xx/xx/xxx.

Obligatoire : <description>.

ExpressRoute :

<Oui/Non>.

<FQDN/Adresse IP>],

Notez également que chaque entrée présente un ensemble commun de séparateurs :

  • / - après le nombre

  • [ - pour indiquer l’entrée correspondant au nombre

  • . - utilisé entre chaque section distincte de l’entrée

  • ], - pour indiquer la fin d’une entrée unique

  • ]. - pour indiquer la fin de toutes les entrées

Vous pouvez déterminer l’emplacement du client en jetant un coup d’œil à notre carte des centres de données.

Les emplacements d’homologation sont décrits plus en détail dans l’article Homologation avec Microsoft.

Avec plus de 2 500 relations d’homologation avec des fournisseurs de services Internet dans le monde entier et 70 points de présence, l’accès depuis votre réseau à nos réseaux devrait être transparent. En quelques minutes, vous pouvez vous assurer que la relation d’homologation de votre fournisseur de services Internet est optimale. Voici quelques exemples de bonnes et de mauvaises configurations d’homologation à notre réseau.

Les itinéraires ExpressRoute acceptés sont définis par les plages d’adresses IP de Microsoft et les Office 365communautés BGP spécifiques.

Nous ajoutons régulièrement de nouvelles fonctionnalités et services à la suite Office 365, ce qui développe encore le champ de la connectivité. Si vous êtes abonné à la référence SKU E3 ou E5, dites-vous simplement que vous avez besoin de l’ensemble des points de terminaison de la liste pour tirer pleinement parti des fonctionnalités de la suite. Si vous n’êtes abonné à aucune des ces références SKU, la différence est minime en relation avec le nombre de points de terminaison.

L’image ci-dessous présente un exemple correspondant à une partie de la table des noms de domaine complets dans la section Office Online. Les lignes sont classées par fonctionnalité et différences en termes de connectivité. Les deux premières lignes indiquent qu’Office Online utilise les points de terminaison marqués comme obligatoires dans les sections Authentification et identité et Portail et services partagés Office 365. C’est habituel pour un service dans Office 365 d’utiliser ces services partagés. La troisième ligne indique que les ordinateurs client doivent pouvoir accéder à *.officeapps.live.com pour utiliser Office Online, tandis que la quatrième ligne indique que les ordinateurs doivent également pouvoir accéder à *.cdn.office.net pour utiliser Office Online.

Même si les lignes trois et quatre sont nécessaires pour utiliser Office Online, elles ont été séparées pour indiquer que la destination est différente :

  1. *.officeapps.live.com ne représente pas un réseau de distribution de contenu. Cela signifie que les requêtes adressées à cet espace de noms sont redirigées directement vers un centre de données Microsoft.

  2. *.officeapps.live.com est accessible sur les circuits ExpressRoute à l’aide de l’homologation Microsoft.

  3. Les adresses IP associées à Office Online et *.officeapps.live.com sont accessibles en cliquant sur ce lien.

  4. *.cdn.office.net représente un réseau de distribution de contenu hébergé par Akamai. Cela signifie que les requêtes adressées à cet espace de noms sont redirigées vers un centre de données Akamai.

  5. *.cdn.office.net n’est pas accessible sur les circuits ExpressRoute.

  6. Les adresses IP associées à Office Online et *.cdn.office.net ne sont pas disponibles.

Capture d’écran de la page des points de terminaison

Nous ne fournissons que les adresses IP pour les serveurs Office 365 vers lesquelles vous devez router l’accès directement via Internet ou ExpressRoute. Cette liste d’adresses IP associées aux requêtes réseau n’est pas exhaustive. Vous voyez les requêtes réseau envoyées à Microsoft et à des adresses IP non publiées appartenant à des tiers. Ces adresses IP sont gérées ou générées de manière dynamique. Il est donc impossible de fournir un préavis immédiat en cas de modification. Si votre pare-feu ne peut pas autoriser l’accès sur la base des noms de domaines complets associés à ces requêtes réseau, utilisez un fichier PAC ou WPAD pour gérer les requêtes.

Vous avez rencontré une adresse IP associée à Office 365 pour laquelle vous voulez obtenir plus d’informations ?

  1. Vérifiez si l’adresse IP est incluse dans une plage publiée plus vaste en utilisant notre calculateur CIDR.

  2. Vérifiez si l’adresse IP appartient à un partenaire en utilisant une requête whois. Si elle appartient à Microsoft, il peut s’agir d’un partenaire interne.

  3. Vérifiez le certificat. Dans un navigateur, connectez-vous à l’adresse IP en tapant HTTPS://<ADRESSE_IP>, puis vérifiez les domaines répertoriés sur le certificat afin d’identifier ceux qui sont associés à l’adresse IP. S’il s’agit d’une adresse IP appartenant à Microsoft et ne figurant pas dans la liste des adresses IP d’Office 365, il est probable qu’il s’agisse d’une adresse IP associée à un réseau de distribution de contenu (CDN) de Microsoft, tel que MSOCDN.NET, ou à un autre domaine Microsoft dont les informations d’adresse IP ne sont pas publiées. Si vous constatez que le domaine figurant sur le certificat est l’un de ceux dont nous déclarons répertorier l’adresse IP, faites-le nous savoir.

Office 365 et d’autres services Microsoft utilisent des services tiers tels que MarkMonitor et Akamai pour améliorer votre expérience d’utilisation d’Office 365. Pour continuer de vous offrir la meilleure expérience possible, il se peut que vous changions ces services à l’avenir. Cependant, nous publions régulièrement l’enregistrement CNAME qui pointe vers un domaine appartenant à un tiers, un enregistrement A ou une adresse IP. Les domaines tiers peuvent héberger du contenu, tel qu’un réseau de distribution de contenu, ou un service, tel qu’un service de gestion du trafic géographique. Lorsque vous rencontrez des connexions à ces services tiers, elles prennent la forme d’une redirection ou d’une référence et non d’une requête initiale en provenance du client. Certains clients ont besoin de s’assurer que cette forme de référence et de redirection est autorisée à circuler sans ajouter de manière explicite la liste exhaustive des noms de domaine complets que les services tiers peuvent potentiellement utiliser.

La liste des services peut être modifiée à tout moment. Voici quelques-uns des services actuellement utilisés :

MarkMonitor est utilisé lorsque vous voyez des requêtes incluant *.nsatc.net. Ce service fournit une protection de nom de domaine et une surveillance pour protéger contre des comportements malveillants.

ExactTarget est utilisé lorsque vous voyez des requêtes envoyées à *.exacttarget.com. Ce service fournit une gestion des liens de courrier électronique et une surveillance pour protéger contre des comportements malveillants.

Akamai est utilisé lorsque vous voyez des requêtes incluant l’un des noms de domaine complets (FQDN) suivants. Ce service offre des services de géo-DNS et de réseau de distribution de contenu.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

  • Vous vous connectez à des services tiers pour accéder à des services Internet de base tels que des recherches DNS et l’extraction de contenu de réseau de distribution de contenu (CDN). Vous vous connectez également à des services tiers pour des intégrations telles que l’incorporation de vidéos YouTube dans des blocs-notes OneNote.

  • Vous vous connectez à des services secondaires hébergés et exécutés par Microsoft, tels que des nœuds de périmètre, qui permettent à votre requête réseau d’accéder au réseau global de Microsoft à l’emplacement Internet le plus proche de votre ordinateur. Le réseau de Microsoft étant le troisième plus étendu de la planète, cela améliore votre expérience de connectivité. Vous vous connectez aussi à des services Microsoft Azure tels qu’Azure Media Services, qui sont utilisés par un vaste éventail de services Office 365.

  • Vous vous connectez à des services Office 365 primaires, tels que le serveur de boîte aux lettres Exchange Online ou le serveur Skype Entreprise Online, où résident vos données uniques et privées. Vous pouvez vous connecter aux services Office 365 primaires par nom de domaine complet (FQDN) ou adresse IP, et utiliser des circuits Internet ou ExpressRoute. Vous pouvez vous connecter à des services tiers et secondaires uniquement en utilisant des noms de domaine complets (FQDN) sur un circuit Internet.

Le diagramme suivant illustre les différences entre ces zones de service. Dans ce diagramme, le réseau local du client en bas à gauche comporte plusieurs périphériques réseau destinés à vous aider à gérer la connectivité réseau. Des configurations telles que celle-ci sont courantes pour les clients Entreprise. Si votre réseau comporte un pare-feu uniquement entre vos ordinateurs clients et Internet, cela est également pris en charge et vous devez vous assurer que votre pare-feu peut prendre en charge des noms de domaine complets (FQDN) et caractères génériques dans les règles de liste verte.

Affiche les trois types de points de terminaison réseau lors de l’utilisation d’Office 365

Office 365 est une suite de services conçue pour fonctionner sur Internet. Les promesses de fiabilité et de disponibilité sont basées sur l’accès à de nombreux services Internet standard. Par exemple, des services Internet standard tels que DNS, CRL et CDN doivent être accessibles pour utiliser Office 365, tout comme ils doivent l’être pour utiliser les services Internet les plus modernes.

En plus de ces services Internet de base, il existe des services tiers utilisés uniquement pour intégrer des fonctionnalités. Par exemple, l’utilisation de Giphy.com au sein de Microsoft Teams permet aux clients d’inclure sans problème des fichiers GIF dans Microsoft Teams. De même, YouTube et Flickr sont des services tiers utilisés pour intégrer sans difficulté des vidéos et des images dans des clients Office à partir d’internet. Si ceux-ci sont nécessaires pour l’intégration, ils sont signalés comme étant facultatifs dans l’article sur les points de terminaison Office 365, ce qui signifie que les fonctionnalités principales du service continuent de fonctionner en cas d’inaccessibilité du point de terminaison.

Si vous tentez d’utiliser Office 365 et constatez que des services tiers ne sont pas accessibles, vous pouvez vérifier que tous les noms de domaine complets (FQDN) indiqués comme étant obligatoires ou facultatifs dans cet article sont autorisés via le proxy et le pare-feu.

Les services secondaires sont des services Microsoft qui ne sont pas contrôlés par Office 365. Il s’agit de composants tels que le réseau de périmètre, Azure Media Services et les réseaux de distribution de contenu Azure. Tous sont requis pour utiliser Office 365 et doivent être accessibles.

Si vous tentez d’utiliser Office 365 et constatez que des services tiers ne sont pas accessibles, vous pouvez vérifier que tous les noms de domaine complets (FQDN) indiqués comme étant obligatoires ou facultatifs dans cet article sont autorisés via le proxy et le pare-feu.

La limitation de l’accès à nos services grand public doit être effectuée à vos propres risques. La seule manière fiable pour bloquer les services grand public consiste à restreindre l’accès au nom de domaine complet login.live.com. Ce nom de domaine complet est utilisé par divers services, y compris des services non destinés au grand public tels que MSDN, TechNet, etc. La limitation de l’accès à ce nom de domaine complet peut nécessiter d’inclure également les exceptions à la règle pour les requêtes réseau associées à ces services.

N’oubliez pas que le blocage de l’accès aux services grand public de Microsoft ne suffit pas à lui seul à empêcher un membre de votre réseau d’extraire des informations à l’aide d’un client ou d’un autre service Office 365.

Voir aussi

Plages d’adresses IP de Microsoft Azure Datacenter

Plages d’adresses IP publiques de Microsoft

Configuration requise de l’infrastructure réseau pour Microsoft Intune

Power BI et ExpressRoute

URL et plages d’adresses IP Office 365

Gestion d’ExpressRoute pour la connectivité d’Office 365

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×