Office 365 エンドポイントを管理する

Office 365 のネットワーク接続

2017 年 10 月 4 日Office 365 への接続は、大規模な信頼できるネットワーク要求で構成されており、この要求が、ユーザーの近くにある待機時間の短い送信に変更されると最適に動作します。Office 365 接続の中には、接続の最適化の利点を得るものもあります。

  1. ファイアウォールの許可リストで Office 365 エンドポイントへの接続を許可していることを確認します。

  2. プロキシ インフラストラクチャを使用して、ワイルドカードや未発行の接続先へのインターネット接続を許可します。

  3. 最適な境界領域ネットワークの構成を保持します。

ファイアウォールとプロキシ経由で Office 365 に接続する。

ファイアウォールの送信許可リストを更新する

ネットワークを最適化するには、すべての信頼できる Office 365 ネットワーク要求をファイアウォールを介して送信し、すべての追加のパケット レベル検査または処理を回避します。これにより待機時間によるパフォーマンスの低下を減らし、境界の容量要件を軽減します。信頼するネットワーク要求を選択するための最も簡単な方法は、上の [プロキシ] タブで事前に構築された PAC ファイルを使用することです。

発信トラフィックがファイアウォールでブロックされる場合、この XML ファイル必須として指定されているすべての IP と FQDN が許可リストに記載されていることを確認する必要があります。すべてのサービスを認識するには、サード パーティのサービスを使用する必要があります。証明書プロバイダー、コンテンツ配信ネットワーク、DNS プロバイダーなど、このようなサード パーティ サービス用の IP アドレスは用意されていません。完全な Office 365 機能の場合、接続先に発行している情報量に関係なく、Office 365 から要求されたすべての接続先に到達できる必要があります。

多くの接続先には発行された IP アドレスがなく、特定の完全修飾ドメイン名のないワイルドカードのドメインとして指定されています。この機能を使用するには、要求されている現在の IP アドレスへのネットワーク要求を解決でき、インターネットでネットワーク要求を送信できる必要があります。

ファイアウォールを使用して、プロセスを自動化します。ファイアウォールでは、代理で XML ファイルを解析し、ファイアウォールで直接ルーティングすることを計画しているサービスや機能に基づいてルールを自動的に更新します。また、Azure 範囲のツールを使用することもできます。このツールはコミュニティによって構成され、Cisco XE ルーティング、ACL リスト構成、プレーン テキスト、CSV をエクスポートするオプションを見つけるために XML を解析します。

ネットワークの宛先の長い説明文を参照サイトおよび RSS ベースの変更ログで使用できるので、変更を購読できます。

PAC ファイルを使用して送信パスを構成する

PAC または WPAD ファイルを使用して、Office 365 と関連付けられているネットワーク要求を管理できますが、IP アドレスは用意されていません。通常、プロキシまたは境界領域のデバイス経由で送信されるネットワーク要求は、待機時間が長くなります。プロキシ認証によって最大の負荷が発生しますが、評価の検索などのその他のサービスやパケットを検査する試行が、ユーザーの操作環境の質を低下させることがあります。また、このような境界領域のネットワーク デバイスは、すべてのネットワーク要求を処理できる十分な容量が必要です。直接の Office 365 ネットワーク要求では、プロキシまたは検査インフラストラクチャを回避することをお勧めします。

いずれかの PAC ファイルを使用して作業を開始し、プロキシに送信されるネットワーク トラフィックと、ファイアウォールに送信されるファイルを決定します。PAC または WPAD ファイルを初めて使用する場合は、Office 365 コンサルタントの 1 人が投稿した PAC ファイルの展開についての記事を参照してください。開始時にこれらを確認し、自分の環境に合わせて編集する必要があります。

2017 年 10 月 4 日に更新された PAC ファイル

最初の例は、インターネット経由でのみエンドポイントを管理するための推奨方法を示します。IP アドレスが発行される Office 365 の接続先のプロキシをバイパスし、残りのネットワーク要求をプロキシに送信します。

コード スニペット:

// JavaScript source code

November2017 - Updates go live 1st Dec2017
//This PAC file contains all FQDNs needed for all services and splits the traffic between those which Microsoft can provide IPs for (so can be sent through a managed firewall with conditional access) and those which IPs cannot be provided for, so need to go to an unrestricted proxy or egress. 
//Due to the use of wildcards, some extra logic is provided to send traffic to the proxy before a 'direct' wildcard is hit.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    var proxyserver2 = "PROXY 10.10.10.11:8080"
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    //Catch explicit FQDNs which need the proxy but are covered under wildcarded FQDNs which have IPs. This has to be done first before the wildcard is hit

    if ((shExpMatch(host, "browser.pipe.aria.microsoft.com")) 
        || (shExpMatch(host, "compliance.outlook.com"))       
        || (shExpMatch(host, "mobile.pipe.aria.microsoft.com"))
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "r1.res.office365.com")) 
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "r3.res.outlook.com"))
        || (shExpMatch(host, "xsi.outlook.com")))

    {
        return proxyserver;
    }
        //Send FQDNs which Microsoft provide IPs for direct, so they can be sent via a firewall

    else if ((isPlainHostName(host))
    || (shExpMatch(host, "*.asm.skype.com"))
    || (shExpMatch(host, "*.broadcast.skype.com"))
    || (shExpMatch(host, "*.cc.skype.com"))
    || (shExpMatch(host, "*.config.skype.com"))
    || (shExpMatch(host, "*.conv.skype.com"))
    || (shExpMatch(host, "*.dc.trouter.io"))
    || (shExpMatch(host, "*.infra.lync.com"))
    || (shExpMatch(host, "*.lync.com"))
    || (shExpMatch(host, "*.msg.skype.com"))
    || (shExpMatch(host, "*.office365.com"))
    || (shExpMatch(host, "*.outlook.com"))
    || (shExpMatch(host, "*.outlook.office.com"))
    || (shExpMatch(host, "*.pipe.aria.microsoft.com"))
    || (shExpMatch(host, "*.pipe.skype.com"))
    || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
    || (shExpMatch(host, "*.protection.office.com"))
    || (shExpMatch(host, "*.sharepoint.com"))
    || (shExpMatch(host, "*.skypeforbusiness.com"))
    || (shExpMatch(host, "*.svc.ms"))
    || (shExpMatch(host, "*.teams.microsoft.com"))
    || (shExpMatch(host, "*.teams.skype.com"))
    || (shExpMatch(host, "*.yammer.com"))
    || (shExpMatch(host, "*.yammerusercontent.com"))
    || (shExpMatch(host, "*broadcast.officeapps.live.com"))
    || (shExpMatch(host, "*excel.officeapps.live.com"))
    || (shExpMatch(host, "*onenote.officeapps.live.com"))
    || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
    || (shExpMatch(host, "*view.officeapps.live.com"))
    || (shExpMatch(host, "*visio.officeapps.live.com"))
    || (shExpMatch(host, "*word-edit.officeapps.live.com"))
    || (shExpMatch(host, "*word-view.officeapps.live.com"))    
    || (shExpMatch(host, "account.office.net"))
    || (shExpMatch(host, "adminwebservice.microsoftonline.com"))
    || (shExpMatch(host, "agent.office.net"))
    || (shExpMatch(host, "apc.delve.office.com"))
    || (shExpMatch(host, "api.login.microsoftonline.com"))
    || (shExpMatch(host, "aus.delve.office.com"))
    || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))    
    || (shExpMatch(host, "can.delve.office.com"))
    || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
    || (shExpMatch(host, "ccs.login.microsoftonline.com"))
    || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
    || (shExpMatch(host, "clientlog.portal.office.com"))
    || (shExpMatch(host, "config.edge.skype.com"))
    || (shExpMatch(host, "controls.office.com"))
    || (shExpMatch(host, "cus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "delve.office.com"))
    || (shExpMatch(host, "device.login.microsoftonline.com"))    
    || (shExpMatch(host, "ea-000.tasks.osi.office.net"))
    || (shExpMatch(host, "eus-zzz.tasks.osi.office.net"))
    || (shExpMatch(host, "gbr.delve.office.com"))
    || (shExpMatch(host, "hip.microsoftonline-p.net"))
    || (shExpMatch(host, "hipservice.microsoftonline.com"))
    || (shExpMatch(host, "home.office.com"))
    || (shExpMatch(host, "ind.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "kor.delve.office.com"))
    || (shExpMatch(host, "lam.delve.office.com"))
    || (shExpMatch(host, "login.microsoft.com"))
    || (shExpMatch(host, "login.microsoftonline.com"))
    || (shExpMatch(host, "login.microsoftonline-p.com"))
    || (shExpMatch(host, "login.windows.net"))
    || (shExpMatch(host, "logincert.microsoftonline.com"))
    || (shExpMatch(host, "loginex.microsoftonline.com"))
    || (shExpMatch(host, "login-us.microsoftonline.com"))     
    || (shExpMatch(host, "nam.delve.office.com"))
    || (shExpMatch(host, "neu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "nexus.microsoftonline-p.com"))
    || (shExpMatch(host, "nexus.officeapps.live.com"))
    || (shExpMatch(host, "nexusrules.officeapps.live.com"))
    || (shExpMatch(host, "office.live.com")) 
    || (shExpMatch(host, "pipe.skype.com"))
    || (shExpMatch(host, "portal.microsoftonline.com"))
    || (shExpMatch(host, "portal.office.com"))
    || (shExpMatch(host, "prod.registrar.skype.com"))
    || (shExpMatch(host, "prod.tpc.skype.com"))
    || (shExpMatch(host, "provisioningapi.microsoftonline.com"))
    || (shExpMatch(host, "s-0001.s-msedge.net"))
    || (shExpMatch(host, "s-0004.s-msedge.net"))
    || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net"))   
    || (shExpMatch(host, "sea-000.tasks.osi.office.net"))    
    || (shExpMatch(host, "signup.microsoft.com"))
    || (shExpMatch(host, "stamp2.login.microsoftonline.com"))
    || (shExpMatch(host, "suite.office.net"))    
    || (shExpMatch(host, "tasks.office.com"))
    || (shExpMatch(host, "teams.microsoft.com"))
    || (shExpMatch(host, "testconnectivity.microsoft.com"))
    || (shExpMatch(host, "weu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "wus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "www.office.com"))
    || (shExpMatch(host, "www.sway.com")))
      
    {
        return "DIRECT";
    }
    else

        // Send all unknown IP traffic to Proxy for unrestricted access. This section is not necessary if you have a catchall for all other traffic to go to an unfiltered proxy. 
        //However the fqdns required, but for which we dont have IPs for, are listed here incase you need an explicit list.

    if ((shExpMatch(host, "*.aadrm.com")) 
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "*.adhybridhealth.azure.com"))    
        || (shExpMatch(host, "*.api.microsoftstream.com"))   
        || (shExpMatch(host, "*.api.skype.com"))
        || (shExpMatch(host, "*.assets-yammer.com"))   
        || (shExpMatch(host, "*.azurerms.com")) 
        || (shExpMatch(host, "*.azureedge.net"))            
        || (shExpMatch(host, "*.cloudapp.net")) 
        || (shExpMatch(host, "*.entrust.net")) 
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.helpshift.com"))   
        || (shExpMatch(host, "*.hockeyapp.net"))    
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    
        || (shExpMatch(host, "*.microsoft.com"))
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))
        || (shExpMatch(host, "*.msedge.net"))      
        || (shExpMatch(host, "*.msocdn.com"))   
        || (shExpMatch(host, "*.office.com"))   
        || (shExpMatch(host, "*.office.net")) 
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.secure.skypeassets.com"))  
        || (shExpMatch(host, "*.sfbassets.com"))
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))     
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))
        || (shExpMatch(host, "*.windows.net"))
        || (shExpMatch(host, "ad.atdmt.com")) 
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "ajax.aspnetcdn.com")) 
        || (shExpMatch(host, "aka.ms"))
        || (shExpMatch(host, "amp.azure.net")) 
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "broadcast.skype.com")) 
        || (shExpMatch(host, "cacerts.digicert.com"))        
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "compliance.outlook.com"))   
        || (shExpMatch(host, "connect.facebook.net"))        
        || (shExpMatch(host, "crl.globalsign.com"))
        || (shExpMatch(host, "crl3.digicert.com"))  
        || (shExpMatch(host, "crl4.digicert.com")) 
        || (shExpMatch(host, "dc.services.visualstudio.com")) 
        || (shExpMatch(host, "domains.live.com"))
        || (shExpMatch(host, "ecn.dev.virtualearth.net "))   
        || (shExpMatch(host, "eus-www.sway-cdn.com"))
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "eur.delve.office.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "firstpartyapps.oaspapps.com")) 
        || (shExpMatch(host, "graph.skype.com"))   
        || (shExpMatch(host, "groupsapi2-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi3-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi4-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi-prod.outlookgroups.ms")) 
        || (shExpMatch(host, "latest-swx.cdn.skype.com")) 
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com")) 
        || (shExpMatch(host, "management.azure.com"))        
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "ocsp.globalsign.com"))
        || (shExpMatch(host, "ocsp.msocsp.com"))       
        || (shExpMatch(host, "ocsp2.globalsign.com"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com")) 
        || (shExpMatch(host, "pipe.skype.com")) 
        || (shExpMatch(host, "platform.linkedin.com"))
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))
        || (shExpMatch(host, "prod.firstpartyapps.oaspapps.com.akadns.net")) 
        || (shExpMatch(host, "r1.res.office365.com"))
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "s.ytimg.com")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "secure.aadcdn.microsoftonline-p.com"))
        || (shExpMatch(host, "secure.globalsign.com")) 
        || (shExpMatch(host, "site-cdn.onenote.net")) 
        || (shExpMatch(host, "skydrive.wns.windows.com")) 
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))   
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))  
        || (shExpMatch(host, "staffhub.ms"))
        || (shExpMatch(host, "staffhub.uservoice.com")) 
        || (shExpMatch(host, "sway.com"))              
        || (shExpMatch(host, "swx.cdn.skype.com"))  
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))         
        || (shExpMatch(host, "telemetryservice.firstpartyapps.oaspapps.com"))    
        || (shExpMatch(host, "web.microsoftstream.com"))         
        || (shExpMatch(host, "wus-firstpartyapps.oaspapps.com"))  
        || (shExpMatch(host, "wus-www.sway-cdn.com"))
        || (shExpMatch(host, "wus-www.sway-extensions.com"))   
        || (shExpMatch(host, "xsi.outlook.com"))
        || (shExpMatch(url, "http://apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(url, "http://cert.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://crl.identrust.com/DSTROOTCAX3CRL.crl"))
        || (shExpMatch(url, "http://isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(url, "http://ocsp.digicert.com"))
        || (shExpMatch(url, "http://ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://ocsp.msocsp.com"))
        || (shExpMatch(url, "http://ocspx.digicert.com"))   
        || (shExpMatch(url, "https://assets.onestore.ms/cdnfiles/external/"))   
        || (shExpMatch(url, "https://cdn.optimizely.com/js/"))  
        || (shExpMatch(url, "https://nps.onyx.azure.net"))
        || (shExpMatch(url, "https://web.localytics.com/v3/localytics.js"))  
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertGlobalRootCA.crt"))
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertHighAssuranceEVRootCA.crt"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com"))
        || (shExpMatch(host, "www.youtube.com")))
        

    {
        return proxyserver;
    }

    //Catchall for all other traffic to another proxy 

else return proxyserver;
}

2 番目の例では、ExpressRoute とインターネット接続が使用可能な場合に接続を管理するための推奨されるアプローチを示します。ExpressRoute のアドバタイズ済みの接続先を ExpressRoute 回線に送信し、インターネットのみのアドバタイズ済みの接続先をプロキシに送信します。

コード スニペット:

// JavaScript source code
//November2017 Update
// Consolidated FQDNs of URLS which are reachable via Microsoft peering over ExpressRoute. All other traffic sent to a proxy in this example. 
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your traffic flow needs and the Office 365 URL & IP page. 
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;
    //SUB-FQDNs of ExpressRoutable wildcards which need to be explicitly sent to the proxy at the top of the PAC because they arent ER routable
    if ((shExpMatch(host, "*.click.email.microsoftonline.com"))
        || (shExpMatch(host, "*.portal.microsoftonline.com")))					
    {
        return proxyserver;
    }
        //EXPRESS ROUTE DIRECT
    else if ((isPlainHostName(host))
            || (shExpMatch(host, "*.asm.skype.com"))
            || (shExpMatch(host, "*broadcast.officeapps.live.com"))
            || (shExpMatch(host, "*.cc.skype.com"))
            || (shExpMatch(host, "*.config.skype.com"))    
            || (shExpMatch(host, "*.conv.skype.com"))
            || (shExpMatch(host, "*.dc.trouter.io"))
            || (shExpMatch(host, "*excel.officeapps.live.com"))
            || (shExpMatch(host, "*.lync.com"))	
            || (shExpMatch(host, "*.microsoftonline.com"))
            || (shExpMatch(host, "*.msg.skype.com"))
            || (shExpMatch(host, "*onenote.officeapps.live.com"))
            || (shExpMatch(host, "*.outlook.office.com"))
            || (shExpMatch(host, "*.pipe.skype.com")) 
            || (shExpMatch(host, "*.pipe.aria.microsoft.com")) 
            || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
            || (shExpMatch(host, "*.protection.office.com"))
            || (shExpMatch(host, "*.protection.outlook.com"))						
            || (shExpMatch(host, "*.sharepoint.com")) 
            || (shExpMatch(host, "*.skypeforbusiness.com")) 
            || (shExpMatch(host, "*.svc.ms"))   
            || (shExpMatch(host, "*.teams.microsoft.com"))  
            || (shExpMatch(host, "*.teams.skype.com"))  
            || (shExpMatch(host, "*view.officeapps.live.com"))                                 
            || (shExpMatch(host, "*visio.officeapps.live.com"))
            || (shExpMatch(host, "*word-view.officeapps.live.com"))
            || (shExpMatch(host, "*word-edit.officeapps.live.com"))	
            || (shExpMatch(host, "autodiscover-*.outlook.com"))				
            || (shExpMatch(host, "apc.delve.office.com"))
            || (shExpMatch(host, "aus.delve.office.com"))
            || (shExpMatch(host, "account.office.net"))
            || (shExpMatch(host, "agent.office.net"))  
            || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))  
            || (shExpMatch(host, "can.delve.office.com")) 
            || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
            || (shExpMatch(host, "ccs.login.microsoftonline.com"))  
            || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
            || (shExpMatch(host, "config.edge.skype.com"))
            || (shExpMatch(host, "delve.office.com"))
            || (shExpMatch(host, "domains.live.com")) 
            || (shExpMatch(host, "eur.delve.office.com"))
            || (shExpMatch(host, "gbr.delve.office.com"))
            || (shExpMatch(host, "hip.microsoftonline-p.net"))
            || (shExpMatch(host, "home.office.com"))
            || (shExpMatch(host, "ind.delve.office.com"))
            || (shExpMatch(host, "jpn.delve.office.com"))
            || (shExpMatch(host, "kor.delve.office.com"))
            || (shExpMatch(host, "lam.delve.office.com"))
            || (shExpMatch(host, "login.microsoftonline-p.net"))				
            || (shExpMatch(host, "login.windows.net"))						
            || (shExpMatch(host, "login.microsoft.com"))
            || (shExpMatch(host, "nam.delve.office.com"))
            || (shExpMatch(host, "nexus.microsoftonline-p.net"))
            || (shExpMatch(host, "office.live.com")) 
            || (shExpMatch(host, "outlook.office365.com")) 
            || (shExpMatch(host, "pipe.skype.com"))	
            || (shExpMatch(host, "portal.office.com"))
            || (shExpMatch(host, "prod.registrar.skype.com"))
            || (shExpMatch(host, "prod.tpc.skype.com"))
            || (shExpMatch(host, "s-0001.s-msedge.net"))
            || (shExpMatch(host, "s-0004.s-msedge.net"))
            || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net"))
            || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net"))  
            || (shExpMatch(host, "signup.microsoft.com"))
            || (shExpMatch(host, "smtp.office365.com"))  
            || (shExpMatch(host, "suite.office.net")) 
            || (shExpMatch(host, "teams.microsoft.com"))  
            || (shExpMatch(host, "www.outlook.com"))   						
            || (shExpMatch(host, "www.office.com")))



       
    {
        return "DIRECT";
    }

        // If Azure public peering is available the following can be added to the Expressroute section above and sent direct via ER. If not these can be sent via the internet i.e delete them from the PAC file.
       
        //*.adhybridhealth.azure.com
        //*.cloudapp.net
        //*.blob.core.windows.net
        //*.hybridconfiguration.azurewebsites.net
        //*.keydelivery.mediaservices.windows.net
        //*.queue.core.windows.net
        //*.servicebus.windows.net - Port: 5671 (If 5671 is blocked, agent falls back to 443, but using 5671 is recommended.)
        //*.store.core.windows.net
        //*.streaming.mediaservices.windows.net
        //*.table.core.windows.net
        //compliance.outlook.com
        //dc.services.visualstudio.com
        //equivio.office.com
        //equivioprod*.cloudapp.net
        //hybridconfiguration.azurewebsites.net
        //liverdcxstorage.blob.core.windowsazure.com//
        //management.azure.com
        //mshrcstorageprod.blob.core.windows.net
        //office365servicehealthcommunications.cloudapp.net
        //office365zoom.cloudapp.net
        //policykeyservice.dc.ad.msft.net
        //protection.office.com
        //secure.aadcdn.microsoftonline-p.com
        //telemetry.remoteapp.windowsazure.com
        //vortex.data.microsoft.com
        //www.remoteapp.windowsazure.com
        //zoom-cs-prod*.cloudapp.net



        //Catchall for all other traffic to proxy
    else
    {
        return proxyserver;
    }
}

3 番目の例では、Office 365 に関連付けられたすべてのネットワーク要求を 1 つの送信先に送信している様子を示します。これは、一般的に Office 365 のネットワークの要求のすべての検査をバイパスするために使用されます。またここで提供される形式では、すべての公開されるエンドポイントが PAC 形式で記載されるので、カスタマイズに使用できます。

コード スニペット:

// JavaScript source code
//November 2017 Update new URLS go live 1st Dec2017 - Some URLs may have been removed from this file from previous versions as they are no longer required.
//Consolidated FQDNs required to access Office 365 - All services including optional components covered and elements covered under wildcards removed. 
//Some repeated domains have been consoliodated into unpublished wildcards in order to keep the file as small as possible.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    if ((shExpMatch(host, "*.adhybridhealth.azure.com"))
        || (shExpMatch(host, "*.api.microsoftstream.com"))  
        || (shExpMatch(host, "*.api.skype.com"))  
        || (shExpMatch(host, "*.asm.skype.com"))     
        || (shExpMatch(host, "*.assets-yammer.com"))
        || (shExpMatch(host, "*.azureedge.net"))   
        || (shExpMatch(host, "*.broadcast.skype.com"))
        || (shExpMatch(host, "*.cc.skype.com")) 
        || (shExpMatch(host, "*.cdn.skype.com")) 
        || (shExpMatch(host, "*.cloudapp.net")) 	
        || (shExpMatch(host, "*.config.skype.com")) 
        || (shExpMatch(host, "*.conv.skype.com"))
        || (shExpMatch(host, "*.crl.entrust.net"))
        || (shExpMatch(host, "*.dc.trouter.io"))
        || (shExpMatch(host, "*.digicert.com"))
        || (shExpMatch(host, "*.entrust.net")) 	        
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.giphy.com")) 
        || (shExpMatch(host, "*.globalsign.com"))
        || (shExpMatch(host, "*.helpshift.com")) 
        || (shExpMatch(host, "*.hockeyapp.net"))       							
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    	
        || (shExpMatch(host, "*.lync.com"))
        || (shExpMatch(host, "*.microsoft.com"))				
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))	
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))	
        || (shExpMatch(host, "*.msedge.net"))
        || (shExpMatch(host, "*.msg.skype.com")) 					
        || (shExpMatch(host, "*.msocdn.com"))
        || (shExpMatch(host, "*.notification.api.microsoftstream.com"))	
        || (shExpMatch(host, "*.ocsp.omniroot.com"))    			
        || (shExpMatch(host, "*.office365.com"))
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.office.com"))	
        || (shExpMatch(host, "*.office.net"))
        || (shExpMatch(host, "*.officeapps.live.com"))		 
        || (shExpMatch(host, "*.onenote.com"))				
        || (shExpMatch(host, "*.outlook.com"))	
        || (shExpMatch(host, "*.outlookgroups.ms"))  
        || (shExpMatch(host, "*.oaspapps.com"))
        || (shExpMatch(host, "*.pipe.skype.com")) 			
        || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.sfbassets.com"))  
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sharepoint.com"))	
        || (shExpMatch(host, "*.skypeforbusiness.com"))	
        || (shExpMatch(host, "*.streaming.mediaservices.windows.net"))	
        || (shExpMatch(host, "*.svc.ms")) 	
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))
        || (shExpMatch(host, "*.teams.skype.com"))
        || (shExpMatch(host, "*.users.storage.live.com"))
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))				
        || (shExpMatch(host, "*.windows.net"))	
        || (shExpMatch(host, "*.yammer.com"))	
        || (shExpMatch(host, "*.yammerusercontent.com"))         
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "aka.ms"))	
        || (shExpMatch(host, "ajax.aspnetcdn.com"))
        || (shExpMatch(host, "amp.azure.net"))	
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "c.bing.net"))
        || (shExpMatch(host, "cert.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "client.hip.live.com"))     
        || (shExpMatch(host, "config.edge.skype.com"))
        || (shExpMatch(host, "connect.facebook.net"))
        || (shExpMatch(host, "crl.identrust.com/DSTROOTCAX3CRL.crl"))	
        || (shExpMatch(host, "dc.services.visualstudio.com"))	
        || (shExpMatch(host, "eus-www.sway-cdn.com"))	
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "graph.skype.com"))
        || (shExpMatch(host, "hybridconfiguration.azurewebsites.net"))  
        || (shExpMatch(host, "isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com"))					
        || (shExpMatch(host, "management.azure.com"))
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "nps.onyx.azure.net"))   
        || (shExpMatch(host, "ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "ocsp.msocsp.com"))     
        || (shExpMatch(host, "ocsp.omniroot.com"))     
        || (shExpMatch(host, "officecdn.microsoft.com.edgesuite.net"))
        || (shExpMatch(host, "officecdn.microsoft.com.edgekey.net"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com"))
        || (shExpMatch(host, "pipe.skype.com"))	
        || (shExpMatch(host, "platform.linkedin.com"))								
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))				
        || (shExpMatch(host, "prod.registrar.skype.com")) 
        || (shExpMatch(host, "prod.tpc.skype.com")) 
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "s-0001.s-msedge.net")) 
        || (shExpMatch(host, "s-0004.s-msedge.net"))   
        || (shExpMatch(host, "s0.assets-yammer.com"))  
        || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "site-cdn.onenote.net"))
        || (shExpMatch(host, "skydrive.wns.windows.com"))
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))		
        || (shExpMatch(host, "ssw.live.com"))
        || (shExpMatch(host, "staffhub.ms))
        || (shExpMatch(host, "staffhub.uservoice.com"))    
        || (shExpMatch(host, "storage.live.com"))				
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))	
        || (shExpMatch(host, "tse1.mm.bing.net"))     
        || (shExpMatch(host, "web.microsoftstream.com"))     
        || (shExpMatch(host, "wus-www.sway-cdn.com"))						
        || (shExpMatch(host, "wus-www.sway-extensions.com"))        
        || (shExpMatch(host, "wu.client.hip.live.com"))     
        || (shExpMatch(host, "www.bing.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com")))



    {
        return proxyserver;
    }

        //Catchall for all other traffic to another proxy

    else return "PROXY 10.10.10.11:8080";
}

ここでは、コミュニティのツールをいくつか紹介します。共有したいものを構築したら、コメントにメモを残してください。この記事で言及したコミュニティ ツールは、いずれも Microsoft が公式にサポートまたは管理するものではありません。お客様の便宜のために掲載されています。

  • これは、コミュニティで生成された最も古いツールで、プロセスの管理を容易にします。ツールは Office 365 のコミュニティのメンバーによって構築されています。こちらの手順を参照して、ダウンロードします

  • エクスポート可能なファイアウォール ルールによる、概念の実証: Microsoft クラウド IP API

  • IT 担当の Praktyk より: 手順RSS 変換、および XML 変換

  • Peter Abele より: ダウンロード

  • ネットワーク分析を使用して、プロキシ インフラストラクチャをバイバスするネットワーク要求を決定します。エンドポイントから送受信するネットワーク トラフィックのボリュームのため、顧客のプロキシをバイパスするのに最もよく使用される FQDN には、次のものが含まれます。

    outlook.office365.com
    outlook.office.com
    <tenant-name>.sharepoint.com
    <tenant-name>-my.sharepoint.com
    <tenant-name>-<app>.sharepoint.com
    *.Lync.com
    
  • 直接ファイアウォールに送信された任意のネットワーク要求が、経由を許可するファイアウォール許可リストのエントリに一致していることをご確認ください。

境界領域のネットワークの統合

Microsoft の WAN が世界最大級のバックボーンを持っていることはご存じですか。

この大規模なネットワークによって、ユーザーが世界中どこにいても、Office 365 や Microsoft の他のクラウド サービスを利用できます。Microsoft のネットワークのデータセンターとエッジ ノード間は、数千ルート マイルの専有ダーク ファイバーを含む広帯域幅、低待機時間、フェールオーバー対応リンクと、数テラビットの接続で構成されます。これらの構成によって、クラウド サービスを簡単に利用できます。

このようなネットワークでは、組織のデバイスを組織のネットワークにできるだけ早く接続する必要があります。世界中に 2,500 を超える ISP ピアリング リレーションシップと 70 を超えるポイントがあるため、ユーザーのネットワークから Microsoft のネットワークへの接続はシームレスである必要があります。数分あれば、ISP のピアリング リレーションシップが最適であることを確認することができます。Microsoft ネットワークとのピアリングの手順のよい例と悪い例については、こちらを参照してください。

機器に応じてネットワークでデバイスを手動または自動で構成し、Office 365 アプリケーション ネットワーク要求を適切に処理することができます。Office 365 ネットワーク トラフィックを適切に処理するために必要な構成の変更は、環境によって異なります。以下が可能なネットワーク構成にすると、Office 365 ネットワーク要求が改善されることがあります。

  • 重要度が低いネットワーク トラフィックよりを超える優先順位。

  • Microsoft ネットワークで使用できる低待機時間を利用しながら、遅い WAN リンク上のバックホールを回避するローカル送信へのルーティングお客様の契約に基づくお勧めのディスカッションを参照してください。

  • ローカル送信の近くの DNS を使用して、ローカル送信からのネットワーク要求が最も近い Microsoft のピアリングの場所に到着することを確認します。

  • 大規模な待機時間の要件を満たすために、詳細なパケット検査やネットワーク パケットが多数発生する処理からの除外。

最新のネットワーク デバイスには、Office 365 などの信頼できるアプリケーションのネットワーク要求を、一般的な信頼されていないインターネット トラフィックとは異なる方法で管理する機能があります。新しい SD-WAN ソリューションの普及に伴い、ネットワークの変化する状態を認識してこのようなトラフィックやパス選択の区別を実行することもできます。たとえば、ユーザーとクラウド間にある多様な接続パスの特定時点の可用性、待機時間、パフォーマンスなどの状態です。

ネットワーク構成を計画する際の追加のガイダンスについては、「Office 365 のネットワークと移行計画」、「Office 365 のパフォーマンス トラブルシューティング計画」、「Office 365 の展開計画チェックリスト」を参照してください。

このシナリオを実装するには

Office 365 URL および XML の IP 定義を使用して、Office 365 トラフィックのローカル (からユーザーへ) の低オーバーヘッド ネットワーク送信を改善し、他のアプリケーションとの相対的な優先順位を管理し、変化するネットワーク条件に応じて Office 365 から Microsoft ネットワークへの接続のネットワーク パスを調整できるかどうかについて、ネットワーク ソリューションまたはサービス プロバイダーに相談してください。一部のソリューションでは、スタックに Office 365 の URL と IP の XML 定義をダウンロードし、自動化しています。

実装したソリューションに、必要なレベルの回復性、適切な地理的冗長性の Office 365 トラフィックのネットワーク パスがあり、公開したときに Office 365 の URL と IP の変更に合わせて調整できることを常に確認してください。

接続についてよく寄せられる管理者の質問です。

下部のリンクをクリックして、記事が役に立ったかどうかを示し、追加の質問を送信してください。Microsoft は皆様からのフィードバックを確認し、よく寄せられる質問でここの質問を更新しています。

新しいエンドポイントがアナウンスされたときは通常、それらが有効になってネットワーク要求の送信が開始される前に 30 日以上の猶予があります。この猶予は、お客様やパートナーのシステムを更新する機会を確保するためにあります。FQDN および IP プレフィックスの追加と削除は、アナウンスと同時に XML ファイルで処理されるので、新しい FQDN が使用の 30 日前に XML ファイルに記載されます。削除をアナウンスする前に削除するエンドポイントへのネットワーク要求の送信を停止するので、アナウンスと同時に XML ファイルからエンドポイント削除するときには、そのエンドポイントはすでに使用されなくなっています。

Office 365 エンドポイントは 30 日の通知で毎月末に公開されます。月に複数回、または直前の通知で緊急の変更が発生する場合もあります。エンドポイントが追加される場合、RSS フィードに一覧表示される有効な日付は、ネットワーク要求がエンドポイントに送信された後の日付になります。RSS を初めて使う場合は、Outlook を介して購読するか、または RSS フィードの更新をメールで通知するように設定します。

RSS フィードを購読した後、自分自身でまたはスクリプトを使用して情報を解析することができます。次の表では、作成をより簡単にするため、RSS フィードのフォーマットについて説明しています。

セクション

パート 1

パート 2

パート 3

パート 4

パート 5

パート 6

説明

個数

以降に、ネットワーク要求がエンドポイントに送信されることが予想される日付。

エンドポイントを要求する機能またはサービスの基本的な説明。

このエンドポイントを ExpressRoute 回路だけでなく、インターネット上にも接続することができますか?

はい - インターネットおよび ExpressRoute 上の双方でこのエンドポイントに接続することができます。

いいえ - インターネット上でのみこのエンドポイントに接続することができます。

宛先の FQDN または IP リンクの範囲が追加または削除されています。

1/

[Effective xx/xx/xxx.

必須: <description>

ExpressRoute:

<Yes/No>.

<FQDN/IP>],

他に注意すべき点は、すべてのエントリが共通の区切り記号のセットを保持していることです。

  • / - カウントの後

  • [ - カウントのエントリを示す

  • . - エントリの各個別のセクション間で使用される

  • ], - 1 つのエントリの終了を示す

  • ]. - すべてのエントリの終了を示す

テナントの場所は、Microsoft のデータセンター マップを使用して最適な場所が決定されます。

ピアリング場所の詳細については、Microsoft とのピアリングのページを参照してください。

世界中に 2,500 を超える ISP ピアリング リレーションシップと 70 を超えるポイントがあるため、ユーザーのネットワークから Microsoft のネットワークへの接続はシームレスである必要があります。数分あれば、ISP のピアリング リレーションシップが最適であることを確認することができます。Microsoft ネットワークとのピアリングの手順のよい例と悪い例については、こちらを参照してください。

許可される ExpressRoute ルートは、Microsoft の IP の範囲と特定の Office 365BGP 通信で定義されます。

Microsoft は、接続環境を拡大して、Office 365 スイート製品に新機能やサービスを定期的に追加します。E3 または E5 SKU に登録している場合、Office スイート製品の機能をすべて活用するために、エンドポイントすべてが必要になると考えると、エンドポイント リストを理解するのが簡単になります。SKU のいずれも登録していない場合は、エンドポイント数による差異はあまりありません。

次の図では、Office Online のセクションで、FQDN テーブルの一部の例を表示しています。行は、機能と接続の違いで整理されています。最初の 2 行は、Office Online が Office 365 認証と ID セクション、ポータル セクション、共有セクションで、"必須" とマークされるエンドポイントに依存していることを示します。サービスが Office 365 内で共有サービスに依存するのは、よくあることです。3 行目は、Office Online を使用するにはクライアント コンピューターが *.officeapps.live.com に到達する必要があること、4 行目は、Office Online を使用するには、コンピューターが *.cdn.office.net に到達する必要があることを示します。

3 行目と 4 行目の両方が Office Online を使用する必要がある場合でも、個別に異なる宛先を示します。

  1. *.officeapps.live.com は、CDN を表すのではなく、この名前空間が直接 Microsoft データセンターにアクセスすることを要求しているということを意味します。

  2. *.officeapps.live.com は、Microsoft Peering を使用して、ExpressRoute 回路でアクセスできます。

  3. Office Online と *.officeapps.live.com に関連付けられている IP アドレスは、このリンクから見つかります。

  4. *.cdn.office.net は、Akamai でホストされている CDN を表しており、この名前空間が Akamai データセンターにアクセスすることを要求しているということを意味します。

  5. *.cdn.office.net は ExpressRoute 回路ではアクセスできません。

  6. Office Online と *.cdn.office.net に関連付けられている IP アドレスは、使用できません。

エンドポイント ページの画面キャプチャ

Microsoft では、インターネットまたは ExpressRoute 上で直接ルーティングする必要がある Office 365 サーバーの IP アドレスのみを用意しています。これは、ネットワーク要求が表示されるすべての IP アドレスが記載された一覧ではありません。Microsoft とサード パーティが所有している未公開の IP アドレスに対するネットワーク要求が表示されます。これらの IP アドレスは、変化したときに適時に通知を防ぐ方法で、動的に生成または管理されます。ファイアウォールで、これらのネットワーク要求の FQDN に基づいてアクセスを許可できない場合は、PAC または WPAD ファイルを使用して要求を管理します。

Office 365 と関連付けられた IP の詳細を確認するには、以下の手順を実行してください。

  1. CIDR 計算ツールを使用して、より広く公開されている範囲に IP アドレスが含まれているかどうかを確認します。

  2. whois クエリを使用して、パートナーが IP を所有しているかどうかを確認します。Microsoft 所有の場合は、内部パートナーの可能性があります。

  3. 証明書を確認し、ブラウザーで HTTPS://<IP_ADDRESS> を使用して IP アドレスに接続し、証明書に表示されるドメインを確認して、IP アドレスに関連付けられているドメインを把握します。Microsoft 所有の IP アドレスで、Office 365 の IP アドレス一覧に掲載されていない場合、その IP アドレスは、MSOCDN.NET や IP 情報が公開されていない他の Microsoft ドメインなど、Microsoft CDN に関連付けられている可能性があります。証明書のドメインが、Microsoft が IP アドレスの登録を主張しているドメインの場合は、お知らせください。

Office 365 と他の Microsoft サービスは、Akamai や MarkMonitor などのいくつかのサードパーティ サービスを使用し、Office 365 の操作性を高めています。お客様の操作性を可能な限り高めるために、今後もこれらのサービスを変更する可能性があります。その一環で、サード パーティが所有しているドメイン、A レコード、または IP アドレスを示す CNAME レコードを発行することがよくあります。サード パーティ ドメインは、CDN などのコンテンツをホストする場合があります。また、地理的なトラフィック管理サービスなどのサービスをホストする場合があります。このようなサード パーティへの接続が表示される場合、クライアントからの最初の要求ではなく、リダイレクトまたは参照の形式です。ユーザーによっては、この形式の参照またはリダイレクトを許可することで、サード パーティ サービスが使用できる FQDN リストに多数の FQDN を明示的に追加することなく通過できるようにする必要があります。

このサービスのリストは、常に変化する可能性があります。現在使用されているサービスの一部を次に示します。

*.nsatc.net を含む要求が表示される場合、MarkMonitor が使用されています。このサービスは、ドメイン名の保護と、悪意のある動作に対して保護するための監視サービスを提供しています。

*.exacttarget.com に対する要求が表示される場合、ExactTarget が使用されています。このサービスは、メール リンク管理と悪意のある動作に対する監視サービスを提供しています。

次のいずれかの FQDN を含む要求が表示される場合、Akamai が使用されています。このサービスは、geo-DNS サービスとコンテンツ配信ネットワーク サービスを提供しています。

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

  • サードパーティ サービスに接続して、DNS ルックアップや CDN コンテンツの取得など、基本的なインターネット サービスを利用します。また、YouTube 動画を OneNote ノートブックに組み込むなど、統合のためにサードパーティ サービスに接続します。

  • Microsoft でホストされ、実行されているセカンダリ サービスに接続します。たとえば、インターネット上でコンピューターに最も近い Microsoft のグローバル ネットワークにアクセスするためにネットワーク要求を送信できるようにするエッジ ノードなどのサービスです。Microsoft のグローバル ネットワークは地球上で第 3 位の規模なので、接続性は改善されます。また、Azure Media Services などの Microsoft Azure サービスに接続することもできます。Azure Media Services は多様な Office 365 サービスで使用されています。

  • ユーザー固有のデータが格納されている Excel Online メールボックス サーバーや Skype for Business Online サーバーなどのプライマリ Office 365 サービスに接続します。プライマリ Office 365 サービスには FQDN または IP アドレスで接続し、インターネットまたは ExpressRoute 回線を使用します。サードパーティ サービスとセカンダリ サービスに接続するには、インターネット回線で FQDN を使用する必要があります。

次の図は、各サービス領域の違いを示しています。この図の左下にあるお客様のオンプレミス ネットワークには、ネットワーク接続の管理を支援する複数のネットワーク デバイスがあります。企業のお客様の場合、このような構成は一般的です。クライアント コンピューターとインターネットの間にファイアウォールのみがあるネットワーク構成の場合もサポートされます。また、ファイアウォールが許可リスト規則で FQDN とワイルドカードをサポートしていることを確認します。

Office 365 を使用する際の 3 種類のネットワーク エンドポイントの図

Office 365 は、インターネット上で機能するように構築された一連のサービスです。信頼性と可用性の保証は、使用可能な多数の標準インターネット サービスに基づいています。最新のインターネット サービスを使用するには、DNS、CRL、CDN などの標準インターネット サービスにアクセス可能である必要がありますが、同様に、Office 365 を使用するためにも標準インターネット サービスにもアクセス可能である必要があります。

これらの基本的なインターネット サービスに加え、機能を統合するためにのみ使用されるサードパーティ サービスがあります。たとえば、ユーザーが Microsoft Teams に GIF をシームレスに追加できるように、Microsoft Teams 内に Giphy.com を使用しています。同様に、YouTube と Flickr は、インターネットの動画と画像を Office クライアントにシームレスに統合するために使用されているサービスです。これらのサービスは統合には必要ですが、Office 365 エンドポイントの記事ではオプションと記載されています。これは、エンドポイントにアクセスできない場合でも、サービスのコア機能は継続して機能することを示します。

Office 365 を使用しようとして、サードパーティ サービスでアクセスできない場合、この記事で必須またはオプションと記載されているすべての FQDN がプロキシとファイアウォールで許可されていることを確認します

セカンダリ サービスは、Office 365 の管理下にない Microsoft サービスです。たとえば、エッジ ネットワーク、Azure Media Services、Azure Content Delivery Network などです。これらのすべてのサービスは Office 365 を使用するために必要で、かつ、アクセス可能である必要があります。

Office 365 を使用しようとして、サードパーティ サービスでアクセスできない場合、この記事で必須またはオプションと記載されているすべての FQDN がプロキシとファイアウォールで許可されていることを確認します

コンシューマー サービスへのアクセス制限はお客様の責任で行っていただく必要がありますが、コンシューマー サービスをブロックする唯一の確実な方法は、login.live.com FQDN へのアクセスを制限することです。この FQDN は、MSDN、TechNet などの非コンシューマー サービスを含む幅広いサービスに使用されます。この FQDN へのアクセスを制限すると、これらのサービスに関連付けられているネットワーク要求のルールに例外を含める必要性が発生する可能性があります。

ただし、Microsoft コンシューマー サービスへのアクセスをブロックするだけでは、ネットワーク上の誰かが Office 365 テナントや他のサービスを使用して情報を入手することを防ぐことはできません。

LinkedIn ラーニングのショート アイコンです。 Office 365 を初めてお使いの場合は
、LinkedIn ラーニングによって提供された Office 365 管理者および IT プロフェッショナル向けの無料のビデオコースをご覧ください。

関連項目

Microsoft Azure データセンターの IP 範囲

Microsoft パブリック IP スペース

Microsoft Intune に使用するネットワーク インフラストラクチャの要件

Power BI と ExpressRoute

Office 365 URL および IP アドレス範囲

Office 365 向け ExpressRoute の接続を管理する

スキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×