Az Office 365-höz készült ExpressRoute csatlakozásának kezelése

Az Office 365-höz készült ExpressRoute alternatív útválasztási útvonalat kínál számos Office 365-szolgáltatáshoz anélkül, hogy a teljes forgalom az interneten bonyolódna. Ugyan az Office 365-höz továbbra is szükség van internetkapcsolatra, az egyes útvonalak, amelyeket a Microsoft BGP protokollon keresztül hirdet meg, a közvetlen ExpressRoute-kapcsolatcsoportot preferálják, hacsak ezt más hálózati beállítás felül nem írja. Ennek az útvonalnak a kezeléséhez az előtagszűrést, valamint a biztonsági és a megfelelőségi beállításokat kell konfigurálni.

Megjegyzés : A Microsoft megváltoztatta a Microsoft-társviszony útválasztási tartomány véleményezésének módját az Azure ExpressRoute esetén. 2017. július 31-től kezdve az Azure ExpressRoute-ügyfelek közvetlenül az Azure felügyeleti konzolon vagy a PowerShellen keresztül engedélyezhetik a Microsoft-társviszonyt. A Microsoft-társviszony engedélyezését követően bármelyik ügyfél létrehozhat útvonalszűrőket, hogy BGP-útvonalhirdetéseket kapjon a Dynamics 365 Customer Engagement-alkalmazásokhoz (korábban CRM Online néven volt ismert). Azok a felhasználók, akiknek az Office 365-höz készült Azure ExpressRoute-ra van szükségük, csak a Microsoft véleményezésének beszerzését követően hozhatnak létre útvonalszűrőket az Office 365-höz. További tudnivalókért az Office 365-höz készült ExpressRoute engedélyezéséhez szükséges véleményezés igényléséről, kérjük, forduljon a Microsoft-fiók csapatához. Ha jogosulatlan előfizetéssel próbál meg az Office 365-höz útvonalszűröket létrehozni, hibaüzenetet fog kapni

Előtagszűrés

Ajánlott minden BGP-útvonalat elfogadni, amelyet a Microsoft meghirdet – az útvonalak szigorú ellenőrzésen és hitelesítésen mennek át, feleslegessé téve a külön vizsgálatot. Az ExpressRoute natívan magában foglalja az ajánlott vezérlőket, például az IP-előtag tulajdonjogát, az integritást és a méretet, illetve nincs bejövő útvonalszűrés az ügyféloldalon.

Ha az útvonal-tulajdonjogot illetően további hitelesítést szeretne az ExpressRoute nyilvános társviszonyaiban, a meghirdetett útvonalakat vesse össze A Microsoft nyilvános IP-tartományai témakörben szereplő IPv4- és IPv6 IP-előtagokkal. Mivel ezek a tartományok lefedik a Microsoft teljes címterületét, és ritkán változnak, megbízható tartománykészletként szolgálnak a szűréshez, és így további védelmet biztosítanak azon ügyfeleink számára, akik kerülik a nem Microsoft tulajdonú útvonalakat a környezetükben. Az esetleges változtatásokat minden hónap 1-jén tesszük közzé, a fájlok frissítése után az új verziószám pedig a lap részletek szakaszában fog szerepelni.

Több okból sem javasolt Az Office 365 URL-címei és IP-címtartományai című témakörben leírtak mentén előtagszűrési listát létrehozni. Lehetséges okok:

  • Az Office 365 IP-előtagjai rendszeresen alapos változáson esnek át.

  • Az Office 365 URL-címei és IP-címtartományai tűzfalak engedélylistáinak és proxy-infrastruktúrájának a kezelésére szolgálnak, nem útválasztásra.

  • Az Office 365 URL-címeivel és IP-címtartományaival nem érhetők el olyan Microsoft-szolgáltatások, amelyek ExpressRoute-kapcsolatokkal igen.

Beállítás

Összetettség

Változásvezérlés

Az összes Microsoft-útvonal elfogadása

Alacsony: Az ügyfél a Microsoft-vezérlőkre bízza az útvonalak tulajdonjogának ellenőrzését.

Nincs

Microsoft-tulajdonú szuperhálózatok szűrése

Közepes: Az ügyfél összegző előtagszűrési listákat alkalmaz, így kizárólag a Microsoft-tulajdonú útvonalakat engedélyezi.

Az ügyfélnek gondoskodnia kell a ritka frissítések követéséről az útvonalszűrőkben.

Az Office 365 IP-tartományainak szűrése

Figyelmeztetés : Nem ajánlott

Magas: Az ügyfél a meghatározott Office 365-ös IP-előtagokra épülő útvonalakra szűr.

Az ügyfélnek komplex változáskezelési eljárást kell alkalmaznia a havi frissítések követésére.

Figyelmeztetés : Ez a megoldás jelentős változáskövetési képességet igényel. A későn végrehajtott változtatások nagy eséllyel szolgáltatás-kimaradást okoznak.

Az Office 365 szolgáltatáshoz az Azure ExpressRoute-on keresztüli kapcsolódás a kiépített Office 365-végpontokat tartalmazó IP-alhálózatok BGP protokollal való meghirdetésére épül. Az Office 365 globális tervezése és az Office 365-öt alkotó nagyszámú szolgáltatás következtében az ügyfeleknek gyakran kezelnie kell, hogy milyen meghirdetéseket fogadnak a hálózatukon. Ha nem szeretne túl sok meghirdetett előtagot használni a környezetében, a BGP-közösség funkció segítségével az Office 365-szolgáltatások egy megadott halmazára szűkítheti a hirdetések körét. A funkció jelenleg előzetes verzióban érhető el.

Függetlenül attól, hogyan kezeli a Microsofttól származó BGP-útvonalhirdetéseket, nem lesz jobban kitéve az Office 365-szolgáltatások hatásainak, mintha kizárólag internetes kapcsolatcsoporton keresztül csatlakozna az Office 365-höz. A Microsoft azonos szintű biztonságot, megfelelőséget és teljesítményt biztosít attól függetlenül, hogy a felhasználó milyen kapcsolatcsoport segítségével csatlakozik az Office 365-höz.

Biztonság

A Microsoft azt javasolja, hogy továbbra is Ön kezelje az ExpressRoute-alapú nyilvános, valamint a microsoftos társviszony-létesítés bejövő és kimenő kapcsolatainak hálózati és biztonsági peremvezérlőit, beleértve az Office 365-szolgáltatások felé és az azoktól érkező kapcsolatokat. Biztonsági vezérlőket kell alkalmazni a saját hálózatról a Microsoft-hálózatok felé irányuló kimenő, és a Microsoft-hálózatokról a saját hálózat felé irányuló bejövő hálózati kérések esetében is.

Kimenő forgalom az ügyféltől a Microsoft felé

Amikor számítógépek az Office 365-höz csatlakoznak, akkor azt ugyanazon végpontokon át teszik, függetlenül attól, hogy a kapcsolat internetes vagy ExpressRoute-kapcsolatcsoporton keresztül jött létre. A kapcsolatcsoporttól függetlenül a Microsoft azt javasolja, hogy az általános internetcímeknél nagyobb bizalommal kezelje az Office 365-szolgáltatásokat. A kimenő forgalmat figyelő biztonsági vezérlők a portokra és a protokollokra fókuszáljanak, így csökkenthető a kitettség, és minimalizálható a karbantartási igény. A portokra vonatkozó szükséges információt az Office 365-végpontokat tartalmazó referenciacikkben találja.

További vezérlőként alkalmazhatja a proxy-infrastruktúrájában az FQDN-szintű szűrést, amellyel korlátozható vagy megvizsgálható az internet vagy az Office 365 felé irányuló hálózati kérések egy része vagy mindegyike. Az FQDN-lista karbantartása az új funkciók kiadásával és az Office 365-csomagok fejlődésével szükségessé teszi a magas szintű változáskezelést és az Office 365-végpontokat tartalmazó cikk változásainak követését.

Figyelmeztetés : A Microsoft azt javasolja, hogy ne kizárólag az IP-előtagokra támaszkodjon az Office 365-ös kimenő biztonságkezelésben.

Beállítás

Összetettség

Változásvezérlés

Nincsenek korlátozások

Alacsony: Az ügyfél korlátlan kimenő forgalmat engedélyez a Microsoft felé.

Nincs

Portkorlátozás

Alacsony: Az ügyfél korlátozza a Microsoft felé irányuló kimenő forgalmat az adott portokon.

Ritka.

Teljes tartománynévbeli (FQDN) korlátozások

Magas: Az ügyfél a közzétett FQDN-ek alapján korlátozza az Office 365 felé irányuló kimenő forgalmat.

Havi változások.

Bejövő forgalom a Microsofttól az ügyfél felé

Létezik számos nem kötelező forgatókönyv, amely szerint a Microsoftnak kapcsolatokat kell létesítenie az Ön hálózata felé.

Az összetettség csökkentése érdekében a Microsoft azt javasolja, hogy ezeket a kapcsolatokat az internetes, ne az ExpressRoute-kapcsolatcsoportjában fogadja el. Ha megfelelőségi vagy teljesítménybeli okokból ezeket a bejövő kapcsolatokat az ExpressRoute-kapcsolatcsoportba kell elfogadni, akkor az elfogadott kapcsolatok hatókörét tűzfallal vagy fordított proxy-val célszerű meghatározni. Az Office 365-végpontok segítségével meghatározhatók a megfelelő FQDN-ek és IP-előtagok.

Megfelelőség

Egyik megfelelőségi vezérlőnkhöz sincs szükség az Ön által használt útválasztási útvonalra. Attól függetlenül, hogy ExpressRoute- vagy internetes kapcsolatcsoporton át csatlakozik az Office 365-szolgáltatásokhoz, a megfelelőségi vezérlőink nem változnak. A szervezete számára legmegfelelőbb választáshoz tekintse át az Office 365 különböző megfelelőségi és biztonsági tanúsítványszintjeit.

A következő rövid hivatkozást használva bármikor visszatérhet: https://aka.ms/manageexpressroute365.

Kapcsolódó témakörök

Tartalomkézbesítési hálózatok
Az Office 365 URL-címei és IP-címtartományai
Az Office 365-végpontok kezelése
Az Office 365-höz készült Azure ExpressRoute – Oktatás

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Részvétel az Office Insider programban

Hasznos volt az információ?

Köszönjük a visszajelzését!

Köszönjük visszajelzését. Jobbnak látjuk, ha az Office egyik támogatási szakemberéhez irányítjuk.

×