Gestione di ExpressRoute per la connettività di Office 365

ExpressRoute per Office 365 offre un percorso di routing alternativo per raggiungere molti servizi di Office 365 senza bisogno di instradare tutto il traffico verso un punto di uscita Internet. Anche se è comunque necessaria la connessione Internet a Office 365, le specifiche route che Microsoft annuncia tramite BGP alla rete rendono preferenziale il circuito ExpressRoute diretto, a meno che nella rete non siano presenti altre configurazioni. Le tre aree comuni che è consigliabile configurare per gestire il routing includono filtro dei prefissi, sicurezza e conformità.

Nota : Microsoft ha modificato la modalità di revisione del dominio di routing del peering Microsoft per Azure ExpressRoute. A partire dal 31 luglio 2017, tutti i clienti di Azure ExpressRoute possono abilitare il peering Microsoft direttamente dalla console di amministrazione di Azure o tramite PowerShell. Dopo aver abilitato il peering Microsoft, tutti i clienti possono creare filtri delle route per ricevere gli annunci del percorso BGP per le applicazioni Dynamics 365 Customer Engagement (note in precedenza come CRM Online). I clienti che hanno bisogno di Azure ExpressRoute per Office 365 devono ottenere la revisione di Microsoft prima di poter creare filtri di route per Office 365. Per altre informazioni, rivolgersi al team degli account Microsoft per scoprire come richiedere una revisione per l'abilitazione di Office 365 ExpressRoute. Gli abbonamenti non autorizzati che cercano di creare filtri di route per Office 365 riceveranno un messaggio di errore

Filtro dei prefissi

Microsoft consiglia ai clienti di accettare tutte le route BGP così come annunciate da Microsoft. Le route fornite vengono sottoposte un rigoroso processo di revisione e convalida, che rende superflui altri controlli. ExpressRoute integra in modo nativo i controlli consigliati, tra cui proprietà del prefisso IP, integrità e scala, senza filtro delle route in ingresso sul lato cliente.

Se è necessaria l'ulteriore convalida della proprietà delle route nel peering pubblico di ExpressRoute, è possibile confrontare le route annunciate con l'elenco di tutti i prefissi IPv4 e IPv6 IP che rappresentano gli intervalli di indirizzi IP pubblici di Microsoft. Questi intervalli coprono l'intero spazio degli indirizzi Microsoft e vengono modificati raramente, fornendo un set di intervalli affidabile in base a cui applicare il filtro che consente anche di offrire un ulteriore livello di protezione ai clienti che temono che route non di proprietà di Microsoft possano diffondersi nel proprio ambiente. Le eventuali modifiche verranno apportate il primo giorno del mese e il numero di versione nella sezione dettagli della pagina cambierà ogni volta che il file viene aggiornato.

Esistono vari motivi per cui è consigliabile evitare di usare URL e intervalli di indirizzi IP per Office 365 per la generazione di elenchi di filtro dei prefissi. Eccone alcuni:

  • I prefissi IP di Office 365 sono soggetti a modifiche frequenti e numerose.

  • Gli URL e gli indirizzi IP di Office 365 sono progettati per la gestione di infrastrutture proxy ed elenchi di indirizzi consentiti per i firewall, non per il routing.

  • Gli URL e gli indirizzi IP di Office 365 non coprono gli altri servizi Microsoft che potrebbero rientrare nell'ambito delle connessioni ExpressRoute.

Opzione

Complessità

Controllo delle modifiche

Accettare tutte le route Microsoft

Bassa: il cliente si affida ai controlli Microsoft per verificare la proprietà di tutte le route.

Nessuno

Filtrare le super-reti di proprietà di Microsoft

Media: il cliente implementa elenchi di filtri dei prefissi riepilogati per consentire solo le route di proprietà di Microsoft.

I clienti devono verificare che i rari aggiornamenti vengano riportati nei filtri delle route.

Filtrare gli intervalli IP di Office 365

Avviso : Non consigliato

Elevata: il cliente filtra le route in base a prefissi IP di Office 365 definiti.

I clienti devono implementare un efficace processo di gestione delle modifiche per gli aggiornamenti mensili.

Attenzione : Questa soluzione richiede modifiche significative e frequenti. Le modifiche non implementate in tempo produrranno quasi certamente un'interruzione del servizio.

La connessione a Office 365 con Azure ExpressRoute si basa sugli annunci BGP di subnet IP specifiche che rappresentano le reti dove vengono distribuiti gli endpoint di Office 365. Considerando la natura globale di Office 365 e il numero di servizi che compongono Office 365, i clienti hanno spesso l'esigenza di gestire gli annunci che accettano sulla rete. Se il numero di prefissi annunciati nel proprio ambiente rappresenta un problema, la caratteristica delle community BGP consente di filtrare gli annunci in base a un set di servizi Office 365 specificato. Questa caratteristica è attualmente in anteprima.

Indipendentemente da come si gestiscono gli annunci di route BGP provenienti da Microsoft, non si otterrà alcun tipo di esposizione speciale ai servizi di Office 365 rispetto ai casi in cui ci si connette a Office 365 esclusivamente attraverso un circuito Internet. Microsoft mantiene gli stessi livelli di sicurezza, conformità e prestazioni indipendentemente dal tipo di circuito usato dai clienti per connettersi a Office 365.

Sicurezza

Microsoft consiglia di gestire controlli personalizzati sul perimetro della rete e di sicurezza per le connessioni da e verso il peering pubblico di ExpressRoute e il peering di Microsoft, incluse le connessioni da e verso i servizi di Office 365. I controlli di sicurezza devono essere implementati per le richieste di rete in uscita dalla rete e dirette alla rete Microsoft, nonché in ingresso dalla rete Microsoft alla propria.

In uscita dal cliente a Microsoft

Quando i computer si connettono a Office 365, si connettono allo stesso set di endpoint indipendentemente dal fatto che la connessione venga effettuata su Internet o su circuito ExpressRoute. Indipendentemente dal circuito usato, Microsoft consiglia di considerare i servizi di Office 365 come più attendibili rispetto alle destinazioni Internet generiche. I controlli di sicurezza in uscita devono concentrarsi sulle porte e sui protocolli per limitare l'esposizione e ridurre al minimo la manutenzione continuativa. Le informazioni necessarie relative alle porte sono disponibili nell'articolo di riferimento sugli endpoint di Office 365.

Per incrementare i controlli, è possibile usare il filtro di livello FQDN all'interno dell'infrastruttura proxy per limitare o ispezionare alcune o tutte le richieste destinate a Internet o Office 365. La conservazione dell'elenco dei nomi di dominio completi man mano che vengono rilasciate nuove funzionalità e che i prodotti di Office 365 evolvono richiede una strategia più affidabile di tracciamento e gestione delle modifiche negli endpoint di Office 365 pubblicati.

Avviso : Microsoft consiglia che non basarsi unicamente sui prefissi IP per gestire la sicurezza in uscita per Office 365

Opzione

Complessità

Controllo delle modifiche

Nessuna limitazione

Bassa: Il cliente consente l'accesso illimitato in uscita a Microsoft.

Nessuno

Restrizioni sulle porte

Bassa: il cliente limita l'accesso in uscita a Microsoft attraverso le porte previste.

Raro.

Restrizioni FQDN

Elevata: il cliente limita l'accesso in uscita a Office 365 in base ai nomi di dominio completi pubblicati.

Modifiche mensili.

In ingresso da Microsoft al cliente

Esistono diversi scenari che richiedono l'avvio di connessioni da Microsoft alla rete del cliente.

Microsoft consiglia di accettare queste connessioni sul circuito Internet anziché sul circuito ExpressRoute per ridurre la complessità. Se per specifiche esigenze di conformità o prestazioni è necessario che queste connessioni in ingresso vengano accettate su un circuito ExpressRoute, è consigliabile usare un firewall o un proxy inverso per definire l'ambito delle connessioni accettate. È possibile usare gli endpoint di Office 365 per individuare i nomi di dominio completi e i prefissi IP appropriati.

Conformità

Microsoft non si basa sul percorso di routing usato dal cliente per i controlli di conformità. Indipendentemente dal fatto che la connessione ai servizi di Office 365 avvenga su un circuito ExpressRoute o Internet, i controlli di conformità non cambiano. È consigliabile esaminare i diversi livelli di certificazione di conformità e sicurezza per Office 365 per stabilire quale sia la scelta migliore per soddisfare le esigenze dell'organizzazione.

Ecco un collegamento breve per tornare alla pagina: https://aka.ms/manageexpressroute365

Argomenti correlati

Reti per la distribuzione di contenuti
URL e intervalli di indirizzi IP per Office 365
Gestione degli endpoint di Office 365
Formazione su Azure ExpressRoute per Office 365

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×