Gestione degli endpoint di Office 365

Connettività di rete di Office 365

5/9/2017 Le connessioni a Office 365 sono costituite da richieste di rete attendibili e a volume elevato, che offrono risultati ottimali con una latenza bassa. Ecco alcune attività comuni di ottimizzazione per queste connessioni.

  1. Gestione degli elenchi delle connessioni in uscita consentite del firewall per la connettività diretta agli endpoint di Office 365.

  2. Gestione del trasferimento dati in uscita dalla rete verso Office 365 e dei servizi di terze parti tramite file PAC proxy.

  3. Configurare e gestire l'integrazione di rete perimetrale.

Connessione a Office 365 tramite firewall e proxy.

Aggiornare gli elenchi delle connessioni in uscita consentite del firewall

È possibile ottimizzare la rete inviando tutte le richieste di rete attendibili di Office 365 direttamente tramite il firewall, escludendo ulteriori attività di ispezione o elaborazione a livello di pacchetti. In questo modo si evita di rallentare le prestazioni a causa della latenza e si riducono i requisiti per la capacità perimetrale. Il modo più semplice per scegliere quali richieste considerare attendibili consiste nell'usare i file PAC predefiniti nella scheda Proxy precedente.

Se il firewall blocca il traffico in uscita, è consigliabile verificare tutti gli indirizzi IP e gli FQDN elencati in questo file XML presenti nell'elenco degli elementi consentiti. Per riconoscere tutti i servizi è necessario usare alcuni servizi di terze parti. Microsoft non fornisce gli indirizzi IP per questi servizi di terze parti, ad esempio i provider di certificati, le reti per la distribuzione di contenuti, i provider DNS e così via.

Automatizzare il processo usando un firewall che analizza il file XML per conto dell'utente e aggiorna automaticamente le regole oppure usare lo strumento Azure Range, creato dalla community, che analizza i dati XML con opzioni di esportazione per la configurazione di Cisco XE Route o dell'elenco ACL, in formato testo normale o CSV.

Una spiegazione più lunga sulle destinazioni di rete, che aiuta ad abbonarsi al servizio che segnala le modifiche, è disponibile nel sito di riferimento Microsoft e nel log delle modifiche basato su RSS.

Configurare i percorsi in uscita con i file PAC

Usare i file PAC o WPAD per gestire le richieste di rete che sono associate a Office 365 ma che non dispongono di un indirizzo IP. In genere le richieste di rete che vengono inviate tramite un dispositivo proxy o perimetrale comportano una latenza aggiuntiva. Questi dispositivi di rete perimetrale necessitano anche di una capacità sufficiente per elaborare tutte le richieste di rete. È consigliabile ignorare l'infrastruttura proxy o di controllo per le richieste di rete dirette di Office 365.

Usare un file PAC come punto di partenza per determinare quale traffico di rete verrà inviato a un proxy e quale a un firewall. Se non si ha familiarità con i file PAC o WPAD, leggere questo post sulla distribuzione dei file PAC di un nostro consulente di Office 365.

File PAC aggiornati il giorno 5/9/2017.

Il primo esempio è una dimostrazione dell'approccio consigliato per la gestione degli endpoint solo su Internet. Ignora il proxy per le destinazioni di Office 365 in cui l'indirizzo IP è pubblicato e invia le richieste di rete rimanenti al proxy.

Frammento di codice:

// JavaScript source code

//September 2017 - Updates go live 1st Sept 2017
//This PAC file contains all FQDNs needed for all services and splits the traffic between those which Microsoft can provide IPs for (so can be sent through a managed firewall with conditional access) and those which IPs cannot be provided for, so need to go to an unrestricted proxy or egress. 
//Due to the use of wildcards, some extra logic is provided to send traffic to the proxy before a 'direct' wildcard is hit.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    var proxyserver2 = "PROXY 10.10.10.11:8080"
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    //Catch explicit FQDNs which need the proxy but are covered under wildcarded FQDNs which have IPs. This has to be done first before the wildcard is hit

    if ((shExpMatch(host, "browser.pipe.aria.microsoft.com")) 
        || (shExpMatch(host, "compliance.outlook.com"))       
        || (shExpMatch(host, "mobile.pipe.aria.microsoft.com"))
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "r1.res.office365.com")) 
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "r3.res.outlook.com"))
        || (shExpMatch(host, "xsi.outlook.com")))

    {
        return proxyserver;
    }
        //Send FQDNs which Microsoft provide IPs for direct, so they can be sent via a firewall

    else if ((isPlainHostName(host))
    || (shExpMatch(host, "*.asm.skype.com"))
    || (shExpMatch(host, "*.broadcast.skype.com"))
    || (shExpMatch(host, "*.cc.skype.com"))
    || (shExpMatch(host, "*.config.skype.com"))
    || (shExpMatch(host, "*.conv.skype.com"))
    || (shExpMatch(host, "*.dc.trouter.io"))
    || (shExpMatch(host, "*.infra.lync.com"))
    || (shExpMatch(host, "*.lync.com"))
    || (shExpMatch(host, "*.msg.skype.com"))
    || (shExpMatch(host, "*.office365.com"))
    || (shExpMatch(host, "*.outlook.com"))
    || (shExpMatch(host, "*.outlook.office.com"))
    || (shExpMatch(host, "*.pipe.aria.microsoft.com"))
    || (shExpMatch(host, "*.pipe.skype.com"))
    || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
    || (shExpMatch(host, "*.sharepoint.com"))
    || (shExpMatch(host, "*.skypeforbusiness.com"))
    || (shExpMatch(host, "*.svc.ms"))
    || (shExpMatch(host, "*.teams.microsoft.com"))
    || (shExpMatch(host, "*.teams.skype.com"))
    || (shExpMatch(host, "*.yammer.com"))
    || (shExpMatch(host, "*.yammerusercontent.com"))
    || (shExpMatch(host, "*broadcast.officeapps.live.com"))
    || (shExpMatch(host, "*excel.officeapps.live.com"))
    || (shExpMatch(host, "*onenote.officeapps.live.com"))
    || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
    || (shExpMatch(host, "*view.officeapps.live.com"))
    || (shExpMatch(host, "*visio.officeapps.live.com"))
    || (shExpMatch(host, "*word-edit.officeapps.live.com"))
    || (shExpMatch(host, "*word-view.officeapps.live.com"))    
    || (shExpMatch(host, "account.office.net"))
    || (shExpMatch(host, "adminwebservice.microsoftonline.com"))
    || (shExpMatch(host, "agent.office.net"))
    || (shExpMatch(host, "apc.delve.office.com"))
    || (shExpMatch(host, "api.login.microsoftonline.com"))
    || (shExpMatch(host, "aus.delve.office.com"))
    || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))    
    || (shExpMatch(host, "can.delve.office.com"))
    || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
    || (shExpMatch(host, "clientlog.portal.office.com"))
    || (shExpMatch(host, "config.edge.skype.com"))
    || (shExpMatch(host, "controls.office.com"))
    || (shExpMatch(host, "cus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "delve.office.com"))
    || (shExpMatch(host, "device.login.microsoftonline.com"))    
    || (shExpMatch(host, "ea-000.tasks.osi.office.net"))
    || (shExpMatch(host, "eur.delve.office.com"))
    || (shExpMatch(host, "eus-000.www.sway.com"))
    || (shExpMatch(host, "eus-001.www.sway.com"))
    || (shExpMatch(host, "eus-002.www.sway.com"))
    || (shExpMatch(host, "eus-003.www.sway.com"))
    || (shExpMatch(host, "eus-004.www.sway.com"))
    || (shExpMatch(host, "eus-005.www.sway.com"))
    || (shExpMatch(host, "eus-006.www.sway.com"))
    || (shExpMatch(host, "eus-007.www.sway.com"))
    || (shExpMatch(host, "eus-008.www.sway.com"))
    || (shExpMatch(host, "eus-009.www.sway.com"))
    || (shExpMatch(host, "eus-00a.www.sway.com"))
    || (shExpMatch(host, "eus-00b.www.sway.com"))
    || (shExpMatch(host, "eus-00c.www.sway.com"))
    || (shExpMatch(host, "eus-00d.www.sway.com"))
    || (shExpMatch(host, "eus-00e.www.sway.com"))
    || (shExpMatch(host, "eus-www.sway.com"))
    || (shExpMatch(host, "eus-zzz.tasks.osi.office.net"))
    || (shExpMatch(host, "gbr.delve.office.com"))
    || (shExpMatch(host, "hip.microsoftonline-p.net"))
    || (shExpMatch(host, "hipservice.microsoftonline.com"))
    || (shExpMatch(host, "home.office.com"))
    || (shExpMatch(host, "ind.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "kor.delve.office.com"))
    || (shExpMatch(host, "lam.delve.office.com"))
    || (shExpMatch(host, "login.microsoft.com"))
    || (shExpMatch(host, "login.microsoftonline.com"))
    || (shExpMatch(host, "login.microsoftonline-p.com"))
    || (shExpMatch(host, "login.windows.net"))
    || (shExpMatch(host, "logincert.microsoftonline.com"))
    || (shExpMatch(host, "loginex.microsoftonline.com"))
    || (shExpMatch(host, "login-us.microsoftonline.com"))     
    || (shExpMatch(host, "nam.delve.office.com"))
    || (shExpMatch(host, "neu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "nexus.microsoftonline-p.com"))
    || (shExpMatch(host, "nexus.officeapps.live.com"))
    || (shExpMatch(host, "nexusrules.officeapps.live.com"))
    || (shExpMatch(host, "pipe.skype.com"))
    || (shExpMatch(host, "portal.microsoftonline.com"))
    || (shExpMatch(host, "portal.office.com"))
    || (shExpMatch(host, "prod.registrar.skype.com"))
    || (shExpMatch(host, "prod.tpc.skype.com"))
    || (shExpMatch(host, "provisioningapi.microsoftonline.com"))
    || (shExpMatch(host, "s-0001.s-msedge.net"))
    || (shExpMatch(host, "s-0004.s-msedge.net"))
    || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net"))   
    || (shExpMatch(host, "sea-000.tasks.osi.office.net"))    
    || (shExpMatch(host, "signup.microsoft.com"))
    || (shExpMatch(host, "stamp2.login.microsoftonline.com"))
    || (shExpMatch(host, "suite.office.net"))
    || (shExpMatch(host, "sway.com"))
    || (shExpMatch(host, "tasks.office.com"))
    || (shExpMatch(host, "teams.microsoft.com"))
    || (shExpMatch(host, "testconnectivity.microsoft.com"))
    || (shExpMatch(host, "weu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "wus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "wus-000.www.sway.com"))
    || (shExpMatch(host, "wus-001.www.sway.com"))
    || (shExpMatch(host, "wus-002.www.sway.com"))
    || (shExpMatch(host, "wus-003.www.sway.com"))
    || (shExpMatch(host, "wus-004.www.sway.com"))
    || (shExpMatch(host, "wus-005.www.sway.com"))
    || (shExpMatch(host, "wus-006.www.sway.com"))
    || (shExpMatch(host, "wus-007.www.sway.com"))
    || (shExpMatch(host, "wus-008.www.sway.com"))
    || (shExpMatch(host, "wus-009.www.sway.com"))
    || (shExpMatch(host, "wus-00a.www.sway.com"))
    || (shExpMatch(host, "wus-00b.www.sway.com"))
    || (shExpMatch(host, "wus-00c.www.sway.com"))
    || (shExpMatch(host, "wus-00d.www.sway.com"))
    || (shExpMatch(host, "wus-00e.www.sway.com"))
    || (shExpMatch(host, "wus-www.sway.com"))
    || (shExpMatch(host, "www.office.com"))
    || (shExpMatch(host, "www.sway.com")))
      
    {
        return "DIRECT";
    }
    else

        // Send all unknown IP traffic to Proxy for unrestricted access. This section is not necessary if you have a catchall for all other traffic to go to an unfiltered proxy. 
        //However the fqdns required, but for which we dont have IPs for, are listed here incase you need an explicit list.

    if ((shExpMatch(host, "*.aadrm.com")) 
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "*.adhybridhealth.azure.com"))    
        || (shExpMatch(host, "*.api.microsoftstream.com"))   
        || (shExpMatch(host, "*.api.skype.com"))
        || (shExpMatch(host, "*.assets-yammer.com"))   
        || (shExpMatch(host, "*.azurerms.com")) 
        || (shExpMatch(host, "*.azureedge.net"))            
        || (shExpMatch(host, "*.cloudapp.net")) 
        || (shExpMatch(host, "*.entrust.net")) 
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.helpshift.com"))   
        || (shExpMatch(host, "*.hockeyapp.net"))    
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    
        || (shExpMatch(host, "*.microsoft.com"))
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))
        || (shExpMatch(host, "*.msedge.net"))      
        || (shExpMatch(host, "*.msocdn.com"))   
        || (shExpMatch(host, "*.office.com"))   
        || (shExpMatch(host, "*.office.net")) 
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.secure.skypeassets.com"))  
        || (shExpMatch(host, "*.sfbassets.com"))
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))     
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))
        || (shExpMatch(host, "*.windows.net"))
        || (shExpMatch(host, "ad.atdmt.com")) 
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "ajax.aspnetcdn.com")) 
        || (shExpMatch(host, "aka.ms"))
        || (shExpMatch(host, "amp.azure.net")) 
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "broadcast.skype.com")) 
        || (shExpMatch(host, "cacerts.digicert.com"))        
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "compliance.outlook.com"))   
        || (shExpMatch(host, "connect.facebook.net"))        
        || (shExpMatch(host, "crl.globalsign.com"))
        || (shExpMatch(host, "crl3.digicert.com"))  
        || (shExpMatch(host, "crl4.digicert.com")) 
        || (shExpMatch(host, "dc.services.visualstudio.com")) 
        || (shExpMatch(host, "domains.live.com"))
        || (shExpMatch(host, "ecn.dev.virtualearth.net "))   
        || (shExpMatch(host, "eus-www.sway-cdn.com"))
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "firstpartyapps.oaspapps.com")) 
        || (shExpMatch(host, "graph.skype.com"))   
        || (shExpMatch(host, "groupsapi2-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi3-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi4-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi-prod.outlookgroups.ms")) 
        || (shExpMatch(host, "latest-swx.cdn.skype.com")) 
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com")) 
        || (shExpMatch(host, "management.azure.com"))        
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "ocsp.globalsign.com"))
        || (shExpMatch(host, "ocsp.msocsp.com"))       
        || (shExpMatch(host, "ocsp2.globalsign.com"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com")) 
        || (shExpMatch(host, "pipe.skype.com")) 
        || (shExpMatch(host, "platform.linkedin.com"))
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))
        || (shExpMatch(host, "prod.firstpartyapps.oaspapps.com.akadns.net")) 
        || (shExpMatch(host, "r1.res.office365.com"))
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "s.ytimg.com")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "secure.aadcdn.microsoftonline-p.com"))
        || (shExpMatch(host, "secure.globalsign.com")) 
        || (shExpMatch(host, "skydrive.wns.windows.com")) 
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))   
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))  
        || (shExpMatch(host, "staffhub.ms"))
        || (shExpMatch(host, "staffhub.uservoice.com"))               
        || (shExpMatch(host, "swx.cdn.skype.com"))  
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))         
        || (shExpMatch(host, "telemetryservice.firstpartyapps.oaspapps.com"))    
        || (shExpMatch(host, "web.microsoftstream.com"))         
        || (shExpMatch(host, "wus-firstpartyapps.oaspapps.com"))  
        || (shExpMatch(host, "wus-www.sway-cdn.com"))
        || (shExpMatch(host, "wus-www.sway-extensions.com"))  
        || (shExpMatch(host, "xsi.outlook.com"))
        || (shExpMatch(url, "http://apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(url, "http://cert.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://crl.identrust.com/DSTROOTCAX3CRL.crl"))
        || (shExpMatch(url, "http://isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(url, "http://ocsp.digicert.com"))
        || (shExpMatch(url, "http://ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://ocsp.msocsp.com"))
        || (shExpMatch(url, "http://ocspx.digicert.com"))   
        || (shExpMatch(url, "https://assets.onestore.ms/cdnfiles/external/"))   
        || (shExpMatch(url, "https://cdn.optimizely.com/js/"))  
        || (shExpMatch(url, "https://nps.onyx.azure.net"))
        || (shExpMatch(url, "https://web.localytics.com/v3/localytics.js"))  
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertGlobalRootCA.crt"))
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertHighAssuranceEVRootCA.crt"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com"))
        || (shExpMatch(host, "www.youtube.com")))
        

    {
        return proxyserver;
    }

    //Catchall for all other traffic to another proxy 

else return proxyserver;
}

Il secondo esempio è una dimostrazione dell'approccio consigliato per la gestione delle connessioni quando sono disponibili i circuiti ExpressRoute e Internet. Invia le destinazioni annunciate ExpressRoute al circuito ExpressRoute e le destinazioni annunciate solo su Internet al proxy.

Frammento di codice:

// JavaScript source code
//September 2017 Update
// Consolidated FQDNs of URLS which are reachable via Microsoft peering over ExpressRoute. All other traffic sent to a proxy in this example. 
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your traffic flow needs and the Office 365 URL & IP page. 
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;
    //SUB-FQDNs of ExpressRoutable wildcards which need to be explicitly sent to the proxy at the top of the PAC because they arent ER routable
    if ((shExpMatch(host, "*.click.email.microsoftonline.com"))
        || (shExpMatch(host, "*.portal.microsoftonline.com")))					
    {
        return proxyserver;
    }
        //EXPRESS ROUTE DIRECT
    else if ((isPlainHostName(host))
            || (shExpMatch(host, "*.asm.skype.com"))
            || (shExpMatch(host, "*broadcast.officeapps.live.com"))
            || (shExpMatch(host, "*.cc.skype.com"))
            || (shExpMatch(host, "*.config.skype.com"))    
            || (shExpMatch(host, "*.conv.skype.com"))
            || (shExpMatch(host, "*.dc.trouter.io"))
            || (shExpMatch(host, "*excel.officeapps.live.com"))
            || (shExpMatch(host, "*.lync.com"))	
            || (shExpMatch(host, "*.microsoftonline.com"))
            || (shExpMatch(host, "*.msg.skype.com"))
            || (shExpMatch(host, "*onenote.officeapps.live.com"))
            || (shExpMatch(host, "*.outlook.office.com"))
            || (shExpMatch(host, "*.pipe.skype.com")) 
            || (shExpMatch(host, "*.pipe.aria.microsoft.com")) 
            || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
            || (shExpMatch(host, "*.protection.outlook.com"))						
            || (shExpMatch(host, "*.sharepoint.com")) 
            || (shExpMatch(host, "*.skypeforbusiness.com")) 
            || (shExpMatch(host, "*.svc.ms"))   
            || (shExpMatch(host, "*.teams.microsoft.com"))  
            || (shExpMatch(host, "*.teams.skype.com"))  
            || (shExpMatch(host, "*view.officeapps.live.com"))                                 
            || (shExpMatch(host, "*visio.officeapps.live.com"))
            || (shExpMatch(host, "*word-view.officeapps.live.com"))
            || (shExpMatch(host, "*word-edit.officeapps.live.com"))	
            || (shExpMatch(host, "autodiscover-*.outlook.com"))				
            || (shExpMatch(host, "apc.delve.office.com"))
            || (shExpMatch(host, "aus.delve.office.com"))
            || (shExpMatch(host, "account.office.net"))
            || (shExpMatch(host, "agent.office.net"))  
            || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))  
            || (shExpMatch(host, "can.delve.office.com"))
            || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
            || (shExpMatch(host, "config.edge.skype.com"))
            || (shExpMatch(host, "delve.office.com"))
            || (shExpMatch(host, "domains.live.com")) 
            || (shExpMatch(host, "eur.delve.office.com"))
            || (shExpMatch(host, "gbr.delve.office.com"))
            || (shExpMatch(host, "hip.microsoftonline-p.net"))
            || (shExpMatch(host, "home.office.com"))
            || (shExpMatch(host, "ind.delve.office.com"))
            || (shExpMatch(host, "jpn.delve.office.com"))
            || (shExpMatch(host, "kor.delve.office.com"))
            || (shExpMatch(host, "lam.delve.office.com"))
            || (shExpMatch(host, "login.microsoftonline-p.net"))				
            || (shExpMatch(host, "login.windows.net"))						
            || (shExpMatch(host, "login.microsoft.com"))
            || (shExpMatch(host, "nam.delve.office.com"))
            || (shExpMatch(host, "nexus.microsoftonline-p.net"))
            || (shExpMatch(host, "outlook.office365.com")) 
            || (shExpMatch(host, "pipe.skype.com"))	
            || (shExpMatch(host, "portal.office.com"))
            || (shExpMatch(host, "prod.registrar.skype.com"))
            || (shExpMatch(host, "prod.tpc.skype.com"))
            || (shExpMatch(host, "s-0001.s-msedge.net"))
            || (shExpMatch(host, "s-0004.s-msedge.net"))
            || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net"))
            || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net"))  
            || (shExpMatch(host, "signup.microsoft.com"))
            || (shExpMatch(host, "smtp.office365.com"))  
            || (shExpMatch(host, "suite.office.net")) 
            || (shExpMatch(host, "teams.microsoft.com"))  
            || (shExpMatch(host, "www.outlook.com"))   						
            || (shExpMatch(host, "www.office.com")))



       
    {
        return "DIRECT";
    }

        // If Azure public peering is available the following can be added to the Expressroute section above and sent direct via ER. If not these can be sent via the internet i.e delete them from the PAC file.
       
        //*.adhybridhealth.azure.com
        //*.cloudapp.net
        //*.blob.core.windows.net
        //*.hybridconfiguration.azurewebsites.net
        //*.keydelivery.mediaservices.windows.net
        //*.queue.core.windows.net
        //*.servicebus.windows.net - Port: 5671 (If 5671 is blocked, agent falls back to 443, but using 5671 is recommended.)
        //*.store.core.windows.net
        //*.streaming.mediaservices.windows.net
        //*.table.core.windows.net
        //compliance.outlook.com
        //dc.services.visualstudio.com
        //equivio.office.com
        //equivioprod*.cloudapp.net
        //hybridconfiguration.azurewebsites.net
        //liverdcxstorage.blob.core.windowsazure.com//
        //management.azure.com
        //mshrcstorageprod.blob.core.windows.net
        //office365servicehealthcommunications.cloudapp.net
        //office365zoom.cloudapp.net
        //policykeyservice.dc.ad.msft.net
        //protection.office.com
        //secure.aadcdn.microsoftonline-p.com
        //telemetry.remoteapp.windowsazure.com
        //vortex.data.microsoft.com
        //www.remoteapp.windowsazure.com
        //zoom-cs-prod*.cloudapp.net



        //Catchall for all other traffic to proxy
    else
    {
        return proxyserver;
    }
}

Il terzo esempio mostra l'invio di tutte le richieste di rete associate a Office 365 a una singola destinazione. Questa operazione viene generalmente usata per evitare il controllo di tutte le richieste di rete di Office 365 e offre anche un formato in cui tutti gli endpoint pubblicati si trovano nell'elenco in formato PAC, utilizzabile per la personalizzazione.

Frammento di codice:

// JavaScript source code
//September 2017 Update new URLS go live 1st Sept 2017 - Some URLs may have been removed from this file from previous versions as they are no longer required.
//Consolidated FQDNs required to access Office 365 - All services including optional components covered and elements covered under wildcards removed. 
//Some repeated domains have been consoliodated into unpublished wildcards in order to keep the file as small as possible.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    if ((shExpMatch(host, "*.adhybridhealth.azure.com"))
        || (shExpMatch(host, "*.api.microsoftstream.com"))  
        || (shExpMatch(host, "*.api.skype.com"))  
        || (shExpMatch(host, "*.asm.skype.com"))     
        || (shExpMatch(host, "*.assets-yammer.com"))
        || (shExpMatch(host, "*.azureedge.net"))   
        || (shExpMatch(host, "*.broadcast.skype.com"))
        || (shExpMatch(host, "*.cc.skype.com")) 
        || (shExpMatch(host, "*.cdn.skype.com")) 	
        || (shExpMatch(host, "*.config.skype.com")) 
        || (shExpMatch(host, "*.conv.skype.com"))
        || (shExpMatch(host, "*.crl.entrust.net"))
        || (shExpMatch(host, "*.dc.trouter.io"))
        || (shExpMatch(host, "*.digicert.com"))
        || (shExpMatch(host, "*.entrust.net")) 	        
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.giphy.com")) 
        || (shExpMatch(host, "*.globalsign.com"))
        || (shExpMatch(host, "*.helpshift.com")) 
        || (shExpMatch(host, "*.hockeyapp.net"))       							
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    	
        || (shExpMatch(host, "*.lync.com"))
        || (shExpMatch(host, "*.microsoft.com"))				
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))	
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))	
        || (shExpMatch(host, "*.msedge.net"))
        || (shExpMatch(host, "*.msg.skype.com")) 					
        || (shExpMatch(host, "*.msocdn.com"))
        || (shExpMatch(host, "*.notification.api.microsoftstream.com"))	
        || (shExpMatch(host, "*.ocsp.omniroot.com"))    			
        || (shExpMatch(host, "*.office365.com"))
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.office.com"))	
        || (shExpMatch(host, "*.office.net"))
        || (shExpMatch(host, "*.officeapps.live.com"))		 
        || (shExpMatch(host, "*.onenote.com"))				
        || (shExpMatch(host, "*.outlook.com"))	
        || (shExpMatch(host, "*.outlookgroups.ms"))  
        || (shExpMatch(host, "*.oaspapps.com"))
        || (shExpMatch(host, "*.pipe.skype.com")) 			
        || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.sfbassets.com"))  
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sharepoint.com"))	
        || (shExpMatch(host, "*.skypeforbusiness.com"))	
        || (shExpMatch(host, "*.streaming.mediaservices.windows.net"))	
        || (shExpMatch(host, "*.svc.ms")) 	
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))
        || (shExpMatch(host, "*.teams.skype.com"))
        || (shExpMatch(host, "*.users.storage.live.com"))
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))				
        || (shExpMatch(host, "*.windows.net"))	
        || (shExpMatch(host, "*.yammer.com"))	
        || (shExpMatch(host, "*.yammerusercontent.com"))         
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "aka.ms"))	
        || (shExpMatch(host, "ajax.aspnetcdn.com"))
        || (shExpMatch(host, "amp.azure.net"))	
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "c.bing.net"))
        || (shExpMatch(host, "cert.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "client.hip.live.com"))     
        || (shExpMatch(host, "config.edge.skype.com"))
        || (shExpMatch(host, "connect.facebook.net"))
        || (shExpMatch(host, "crl.identrust.com/DSTROOTCAX3CRL.crl"))	
        || (shExpMatch(host, "dc.services.visualstudio.com"))	
        || (shExpMatch(host, "equivioprod*.cloudapp.net"))  
        || (shExpMatch(host, "eus-www.sway-cdn.com"))	
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "graph.skype.com"))
        || (shExpMatch(host, "hybridconfiguration.azurewebsites.net"))  
        || (shExpMatch(host, "isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com"))					
        || (shExpMatch(host, "management.azure.com"))
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "nps.onyx.azure.net"))   
        || (shExpMatch(host, "ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "ocsp.msocsp.com"))     
        || (shExpMatch(host, "ocsp.omniroot.com"))     
        || (shExpMatch(host, "office365servicehealthcommunications.cloudapp.net"))	
        || (shExpMatch(host, "office365zoom.cloudapp.net"))
        || (shExpMatch(host, "officecdn.microsoft.com.edgesuite.net"))
        || (shExpMatch(host, "officecdn.microsoft.com.edgekey.net"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com"))
        || (shExpMatch(host, "pipe.skype.com"))	
        || (shExpMatch(host, "platform.linkedin.com"))										
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))				
        || (shExpMatch(host, "prod.registrar.skype.com")) 
        || (shExpMatch(host, "prod.tpc.skype.com")) 
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "s-0001.s-msedge.net")) 
        || (shExpMatch(host, "s-0004.s-msedge.net"))   
        || (shExpMatch(host, "s0.assets-yammer.com"))  
        || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "skydrive.wns.windows.com"))
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))		
        || (shExpMatch(host, "ssw.live.com"))
        || (shExpMatch(host, "staffhub.ms))
        || (shExpMatch(host, "staffhub.uservoice.com"))    
        || (shExpMatch(host, "storage.live.com"))				
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))	
        || (shExpMatch(host, "tse1.mm.bing.net"))     
        || (shExpMatch(host, "web.microsoftstream.com"))     
        || (shExpMatch(host, "wus-www.sway-cdn.com"))						
        || (shExpMatch(host, "wus-www.sway-extensions.com"))        
        || (shExpMatch(host, "wu.client.hip.live.com"))     
        || (shExpMatch(host, "www.bing.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com"))
        || (shExpMatch(host, "zoom-cs-prod*.cloudapp.net")))


    {
        return proxyserver;
    }

        //Catchall for all other traffic to another proxy

    else return "PROXY 10.10.10.11:8080";
}

Ecco alcuni altri strumenti messi a disposizione dalla community. Se si è creato qualcosa che si vuole condividere, lasciare una nota nei commenti. Gli strumenti della community cui si fa riferimento in questo articolo non sono supportati né gestiti ufficialmente da Microsoft e vengono citati solo come ausilio per gli utenti.

  • Qui è disponibile il più vecchio strumento generato dalla community per aiutare a gestire il processo. Lo strumento è stato creato da un membro della community di Office 365. Sono disponibili anche le istruzioni e il download.

  • Modello di verifica con regole del firewall esportabili: API IP di Microsoft Cloud.

  • Da IT Praktyk: Istruzioni, conversione RSS e conversione XML.

  • Da Peter Abele: Download.

  • Usare l'analisi di rete per stabilire quali richieste di rete devono bypassare l'infrastruttura proxy. Di seguito sono indicati i nomi di dominio completi più usati per bypassare i proxy del cliente, dato il volume di traffico di rete inviato e ricevuto da questi endpoint.

    outlook.office365.com
    outlook.office.com
    <tenant-name>.sharepoint.com
    <tenant-name>-my.sharepoint.com
    <tenant-name>-<app>.sharepoint.com
    *.Lync.com
    
  • Assicurarsi che per tutte le richieste di rete inviate direttamente al firewall sia presente una voce corrispondente nell'elenco Consenti del firewall per consentirne il passaggio.

Integrazione di rete perimetrale

La rete WAN di Microsoft è una della dorsali più grandi del mondo.

Questa rete imponente è ciò che consente il funzionamento di Office 365 e degli altri servizi cloud Microsoft, in qualsiasi area geografica ci si trovi. La nostra rete è costituita da collegamenti a larghezza di banda elevata, bassa latenza e con capacità di failover, con migliaia di chilometri di fibra ottica spenta privata e connessioni multi-terabit tra i data center e i nodi perimetrali, allo scopo di semplificare l'utilizzo dei nostri servizi cloud.

Con una rete di questo tipo i dispositivi di un'organizzazione devono connettersi alla nostra rete nel più breve tempo possibile. Con oltre 2500 relazioni di peering ISP a livello globale e 70 punti di presenza, il passaggio dalla rete dell'utente alla nostra dovrebbe essere immediato. Può essere utile dedicare qualche minuto ad assicurarsi che la relazione di peering dell'ISP siano ottimali. Ecco alcuni esempi di passaggi di peering di buono e scarso livello verso la rete dell'utente.

È possibile configurare manualmente o automaticamente i dispositivi connessi alla rete in modo da gestire in modo ottimale le richieste di rete delle applicazioni di Office 365, a seconda delle apparecchiature. Le modifiche alla configurazione che è necessario apportare per gestire in modo ottimale il traffico di rete di Office 365 dipendono dall'ambiente esistente. Le richieste di rete di Office 365 possono trarre vantaggio dalle configurazioni di rete che consentono quanto segue:

  • Priorità sul traffico di rete meno critico.

  • Instradamento a un punto di uscita locale per evitare il backhauling su un collegamento WAN lento avvalendosi al contempo della bassa latenza disponibile sulla rete Microsoft. Ecco una buona discussione in base agli impegni del cliente.

  • L'esclusione dall'ispezione approfondita dei pacchetti o altre attività di elaborazione intensiva di pacchetti di rete per soddisfare i requisiti di latenza su vasta scala.

I moderni dispositivi di rete includono funzionalità per gestire le richieste di rete per le applicazioni attendibili come Office 365 diversamente rispetto al traffico Internet generico non attendibile. Con il panorama emergente delle soluzioni SD-WAN, tale differenziazione del traffico e della selezione del percorso può avvenire anche tenendo conto dello stato variabile della rete, ad esempio la disponibilità in dato momento, la latenza o le prestazioni dei vari percorsi di connettività tra l'utente e il cloud.

Per altre istruzioni sulla pianificazione della configurazione di rete, vedere Pianificazione della rete e della migrazione per Office 365, Piano di risoluzione dei problemi di prestazioni per Office 365 e Elenco di controllo per la pianificazione della distribuzione per Office 365.

Per implementare questo scenario:

Rivolgersi al provider di rete o del servizio per scoprire se può usare le definizioni di URL e indirizzi IP di Office 365 da XML per agevolare l'uscita di rete locale (verso l'utente) con overhead basso per il traffico di Office 365, gestire la sua priorità rispetto alle altre applicazioni e modificare il percorso di rete per le connessioni di Office 365 alla rete Microsoft in funzione delle condizioni della rete variabili. Alcune soluzioni scaricano e automatizzano la definizione degli XML di URL e indirizzi IP di Office 365 nei loro stack.

Verificare sempre che la soluzione implementata offra il grado necessario di flessibilità e la ridondanza geografica appropriata del percorso di rete per il traffico di Office 365 e supporti le modifiche agli URL e agli indirizzi IP di Office 365 non appena vengono pubblicate.

Domande frequenti sulla connettività per gli amministratori:

Fare clic sul collegamento in fondo per indicare se l'articolo è stato utile e per inviare eventuali altre domande. I feedback vengono monitorati e le domande vengono aggiornate in base a quelle poste con più frequenza.

Quando vengono annunciati nuovi endpoint, in genere è previsto un buffer di più di 30 giorni prima che diventino effettivi e che le richieste di rete vengano inoltrate ai nuovi endpoint. Questo buffer consente ai clienti e ai partner di aggiornare i propri sistemi. Le aggiunte e le rimozioni di FQDN e prefissi IP vengono elaborate nel file XML insieme agli annunci, quindi un nuovo FQDN sarà disponibile nel file XML 30 giorni prima dell'utilizzo. Visto che è stato interrotto l'invio di richieste di rete agli endpoint che stanno per essere rimossi prima di annunciarne la rimozione, quando si rimuove l'endpoint dai dati XML nello stesso momento in cui viene rilasciato l'annuncio, l'endpoint è già inutilizzato.

Gli endpoint di Office 365 vengono pubblicati alla fine di ogni mese con un preavviso di 30 giorni. Talvolta vengono apportate modifiche con una frequenza maggiore o con preavvisi più brevi. Quando viene aggiunto un endpoint, la data di validità indicata nel feed RSS corrisponde alla data dopo cui le richieste di rete vengono inviate all'endpoint. Se non si ha familiarità con RSS, ecco come effettuare la sottoscrizione tramite Outlook o ricevere gli aggiornamenti del feed RSS tramite posta elettronica.

Dopo aver sottoscritto il feed RSS, è possibile analizzare le informazioni manualmente o con uno script. La tabella seguente descrive il formato del feed RSS o lo rende più semplice.

Sezione

Parte 1

Parte 2

Parte 3

Parte 4

Parte 5

Parte 6

Descrizione

Conteggio

Data dopo la quale è probabile che le richieste di rete siano inviate all'endpoint.

Descrizione di base della caratteristica o del servizio che richiede l'endpoint.

Oltre a Internet, è possibile connettersi all'endpoint in un circuito ExpressRoute?

: è possibile connettersi a questo endpoint sia con Internet che ExpressRoute.

No: è possibile connettersi a questo endpoint solo con Internet.

L'FQDN o l'intervallo IP di destinazione aggiunto o rimosso.

Esempio

1/

[Valido xx/xx/xxx.

Obbligatorio: <descrizione>.

ExpressRoute:

<Sì/No>.

<FQDN/IP>],

Da notare che ogni immissione ha un set di delimitatori comune:

  • /: dopo il conteggio

  • [: per indicare l'immissione per il conteggio

  • .: usato tra ogni singola sezione dell'immissione

  • ],: per indicare la fine di ogni immissione

  • ].: per indicare la fine di tutte le immissioni

Per determinare la posizione del tenant è possibile usare la nostra mappa dei data center.

Le posizioni di peering sono descritte in modo più dettagliato nella pagina dedicata al peering con Microsoft.

Con oltre 2500 relazioni di peering ISP a livello globale e 70 punti di presenza, il passaggio dalla rete dell'utente alla nostra dovrebbe essere immediato. Può essere utile dedicare qualche minuto ad assicurarsi che la relazione di peering dell'ISP siano ottimali. Ecco alcuni esempi di passaggi di peering di buono e scarso livello verso la rete dell'utente.

I percorsi di ExpressRoute accettati sono definiti dagli intervalli IP di Microsoft e dalle specifiche Office 365community BGP.

La famiglia di prodotti di Office 365 viene regolarmente integrata con nuove funzionalità e nuovi servizi per espandere il panorama della connettività. Se si ha un abbonamento all'SKU E3 o E5, un modo semplice per valutare l'elenco degli endpoint è pensare che sono tutti necessari per ottenere tutte le funzionalità della famiglia di prodotti. Se non si ha un abbonamento a questi SKU, la differenza è minima per quanto riguarda il numero di endpoint.

Nell'immagine seguente è riportato un esempio tratto da una parte della tabella di FQDN nella sezione di Office Online. Le righe sono organizzate in base alla caratteristica e alle differenze in termini di connettività. Le prime due righe indicano che Office Online si basa sugli endpoint contrassegnati come obbligatori nelle sezioni Autenticazione e identità e Portale e condivisione di Office 365. È tipico che un servizio all'interno di Office 365 dipenda da questi servizi condivisi. La terza riga indica che i computer client devono poter raggiungere *.officeapps.live.com per usare Office Online e la quarta riga indica che i computer devono poter raggiungere anche *.cdn.office.net per usare Office Online.

Sebbene la terza e quarta riga siano entrambe obbligatorie per Office Online, sono state separate per indicare che la destinazione è diversa:

  1. *.officeapps.live.com non rappresenta una rete CDN. Questo significa che le richieste indirizzate a questo spazio dei nomi verranno inviate direttamente a un data center Microsoft.

  2. *.officeapps.live.com è accessibile sui circuiti ExpressRoute usando il peering Microsoft.

  3. Gli indirizzi IP associati a Office Online e *.officeapps.live.com sono reperibili facendo clic su questo collegamento.

  4. *.cdn.office.net rappresenta una rete CDN ospitata da Akamai. Questo significa che le richieste indirizzate a questo spazio dei nomi verranno inviate a un data center Akamai.

  5. *.cdn.office.net non è accessibile sui circuiti ExpressRoute.

  6. Gli indirizzi IP associati a Office Online e *.cdn.office.net non sono disponibili.

Schermata della pagina degli endpoint

Noi forniamo solo gli indirizzi IP per i server di Office 365 a cui instradare direttamente su Internet o ExpressRoute. Non si tratta di un elenco completo degli indirizzi IP per cui si vedranno richieste di rete. Si vedranno richieste di rete per indirizzi IP non pubblicati di proprietà di Microsoft e di terze parti. Questi indirizzi IP vengono generati dinamicamente o gestiti in modo da impedire avvisi tempestivi in caso di modifica. Se il firewall non consente l'accesso in base ai nomi di dominio completi per le richieste di rete, usare un file PAC o WPAD per gestire le richieste.

È presente un indirizzo IP associato a Office 365 sul quale si vogliono ottenere altre informazioni?

  1. Verificare se l'indirizzo IP è incluso in un intervallo pubblicato più ampio usando un calcolatore CIDR.

  2. Scoprire se l'indirizzo IP appartiene a un partner eseguendo una query whois. Se appartiene a Microsoft, potrebbe trattarsi di un partner interno.

  3. Controllare il certificato, in un browser connettersi all'indirizzo IP mediante HTTPS://<INDIRIZZO_IP, controllare i domini elencati nel certificato per sapere quali domini sono associati all'indirizzo IP. Se è un indirizzo IP di proprietà di Microsoft non incluso nell'elenco degli indirizzi IP di Office 365, è probabile che sia associato a una rete CDN Microsoft come MSOCDN.NET o a un altro dominio Microsoft senza informazioni sugli indirizzi IP pubblicati. Se il dominio specificato nel certificato è uno di quelli di cui dovrebbe essere elencato l'indirizzo IP, informare Microsoft.

Office 365 e altri servizi Microsoft usano diversi servizi di terze parti come Akamai e MarkMonitor per migliorare l'esperienza di Office 365. Per assicurare sempre la migliore esperienza utente possibile, Microsoft potrebbe cambiare questi servizi in futuro. In questa ottica, pubblichiamo spesso il record CNAME che punta a un dominio, un record A o un indirizzo IP di terze parti. I domini di terze parti potrebbero ospitare contenuti, come una rete CDN, oppure un servizio, ad esempio un servizio di gestione del traffico geografico. Se sono presenti connessioni a questi servizi di terze parti, in genere si tratta di reindirizzamenti o riferimenti piuttosto che di una richiesta del client. Alcuni utenti devono assicurarsi che sia consentito il passaggio di questo tipo di riferimento e reindirizzamento senza aggiungere in modo esplicito il lungo elenco di nomi di dominio completi che i servizi di terze parti possono usare.

L'elenco dei servizi è soggetto a variazione in qualsiasi momento. Alcuni dei servizi attualmente in uso includono:

MarkMonitor è in uso quando sono presenti richieste che includono *.nsatc.net. Questo servizio fornisce protezione dei nomi di dominio e monitoraggio per proteggere da comportamenti dannosi.

ExactTarget è in uso quando sono presenti richieste a *.exacttarget.com. Questo servizio fornisce gestione dei collegamenti di posta elettronica e monitoraggio per proteggere da comportamenti dannosi.

Akamai è in uso quando sono presenti richieste che includono uno degli FQDN seguenti. Questo servizio offre servizi di rete di CDN e instradamento geografico del DNS.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

  • Ci si connette a servizi di terze parti per recuperare servizi Internet di base come la ricerca DNS e il recupero dei contenuti della rete CDN. Ci si connette a servizi di terze parti anche per le integrazioni come l'incorporamento di video di YouTube in blocchi appunti di OneNote.

  • Ci si connette a servizi secondari ospitati ed eseguiti da Microsoft come i nodi perimetrali che consentono alla richiesta di rete dell'organizzazione di entrare nella rete Microsoft globale nel percorso Internet più vicino al computer. Essendo la terza rete più grande del pianeta, l'esperienza di connettività risulta notevolmente migliorata. Ci si connette anche ai servizi Microsoft Azure come i Servizi multimediali di Microsoft Azure, usati da una varietà di servizi di Office 365.

  • Ci si connette ai servizi primari di Office 365 come il server delle cassette postali di Exchange Online o il server di Skype for Business Online, in cui si trovano i dati univoci e proprietari dell'organizzazione. È possibile connettersi ai servizi primari di Office 365 mediante l'FQDN o l'indirizzo IP e usare circuiti Internet o ExpressRoute. Ci si può connettere ai servizi di terze parti e secondari solo mediante FQDN su un circuito Internet.

Il diagramma seguente mostra le differenze tra queste aree di servizi. Nel diagramma la rete locale del cliente in basso a sinistra ha più dispositivi di rete usati per la gestione della connettività di rete. Le configurazioni come questa sono comuni per le grandi aziende. Se la propria rete ha un solo firewall tra i computer client e Internet, è supportata anche questa configurazione e occorre verificare che il firewall supporti gli FQDN e i caratteri jolly nelle regole per gli elenchi indirizzi consentiti.

Mostra i tre diversi tipi di endpoint di rete quando si usa Office 365

Office 365 è una famiglia di servizi progettati per essere eseguiti in Internet. Il loro livello di affidabilità e disponibilità si basa su numerosi servizi Internet standard disponibili. Ad esempio, i servizi Internet standard come DNS, CRL e CDN devono essere raggiungibili per poter usare Office 365, allo stesso modo in cui devono esserlo per usare i servizi Internet più moderni.

Oltre a questi servizi Internet di base, esistono servizi di terze parti usati solo per integrare determinate funzionalità. Ad esempio, l'uso di Giphy.com all'interno di Microsoft Teams consente di includere facilmente GIF in Teams. Allo stesso modo, YouTube e Flickr sono servizi di terze parti usati per integrare facilmente video e immagini nei client di Office da Internet. Benché siano necessari per l'integrazione, questi servizi sono contrassegnati come facoltativi nell'articolo sugli endpoint di Office 365, e questo significa che la funzionalità principale del servizio continuerà a essere disponibile se l'endpoint non è accessibile.

Se si cerca di usare Office 365 e si scopre che i servizi di terze parti non sono accessibili, è consigliabile verificare che tutti gli FQDN contrassegnati come obbligatori o facoltativi in questo articolo siano ammessi tramite il proxy e il firewall.

I servizi secondari sono servizi Microsoft non controllati da Office 365. Sono servizi secondari la rete perimetrale, Servizi multimediali di Azure e le reti di distribuzione dei contenuti di Microsoft Azure. Tutti questi servizi sono obbligatori per l'uso di Office 365 e devono essere raggiungibili.

Se si cerca di usare Office 365 e si scopre che i servizi di terze parti non sono accessibili, è consigliabile verificare che tutti gli FQDN contrassegnati come obbligatori o facoltativi in questo articolo siano ammessi tramite il proxy e il firewall.

La limitazione dell'accesso ai servizi per consumatori è un'operazione che si esegue a proprio rischio. L'unico modo affidabile per bloccare quei servizi consiste nel limitare l'accesso agli FQDN login.live.com. Questo FQDN viene usato da una vasta gamma di servizi, inclusi i servizi non rivolti ai consumatori come MSDN, TechNet e altri. La limitazione dell'accesso a questo FQDN può comportare la necessità di includere anche le eccezioni alla regola per le richieste di rete associate a questi servizi.

Tenere presente che non basta bloccare l'accesso ai servizi consumer Microsoft per impedire a un utente della rete di sottrarre informazioni mediante un tenant o un altro servizio di Office 365.

Vedere anche

Intervalli di indirizzi IP per il data center di Microsoft Azure

Spazio IP pubblico Microsoft

Requisiti dell'infrastruttura di rete per Microsoft Intune

Power BI ed ExpressRoute

URL e intervalli di indirizzi IP per Office 365

Gestione di ExpressRoute per la connettività di Office 365

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×