Office 365 向け ExpressRoute の接続を管理する

Office 365 向け ExpressRoute では、すべてのトラフィックをインターネットに送信する必要はなく、多くの Office 365 サービスにアクセスできる代わりのルーティング パスが提供されています。Office 365 へのインターネット接続は引き続き必要ですが、お客様のネットワークにその他の構成がない限り、Microsoft がお客様のネットワークへの BGP によってアドバタイズする特定のルートは、ダイレクト ExpressRoute 回線を優先させます。このルーティングを管理するために構成する必要がある 3 つの一般的な領域があり、それは、プレフィクスのフィルター処理、セキュリティ、およびコンプライアンスです。

注: Microsoft では、Azure ExpressRoute の Microsoft ピアリング ルーティング ドメインを確認する方法を変更しました。2017 年 7 月 31 日以降、Azure ExpressRoute のすべてのお客様は、Azure 管理コンソールから PowerShell 経由で直接 Microsoft ピアリングを有効にできます。Microsoft ピアリングを有効にすると、お客様はルート フィルターを作成して、Dynamics 365 顧客契約アプリケーション (旧称 CRM Online) の BGP ルート アドバタイズを受信することができます。Azure ExpressRoute for Office 365 が必要なお客様は、Office 365 のルート フィルターを作成する前に、Microsoft からレビューを取得する必要があります。Office 365 ExpressRoute を有効にするためのレビューを要求する方法については、Microsoft アカウント チームにお問い合わせください。認証されていないサブスクリプションで Office 365 のルート フィルターを作成しようとすると、エラー メッセージが表示されます

プレフィックスのフィルター処理

Microsoft は、Microsoft からアドバタイズされたすべての BGP ルートをお客様が受け入れることを推奨します。提供されるルートは、追加された監視への利点を取り除く、厳密なレビューと検証プロセスを経ています。ExpressRoute では、IP プレフィックスの所有権、整合性、およびスケールなど、推奨コントロールをネイティブに提供します。顧客側で受信ルートのフィルター処理を行う必要はありません。

ExpressRoute パブリック ピアリングでルート所有権の追加の検証が必要な場合、Microsoft のパブリック IP 範囲に示されたすべての IPv4 と IPv6 IP のプレフィックスの一覧に対して、アドバタイズされたルートを確認することができます。これらの範囲には完全な Microsoft アドレス空間が含まれ、頻繁に変更されることはありません。また、それをフィルター処理する信頼性の高い範囲のセットを指定することで、Microsoft 以外の環境へリークする Microsoft 以外が所有するルートを考慮するお客様に追加の保護も提供します。変更のあるイベントでは、変更はその月の 1 日に加えられ、ページの詳細セクションのバージョン番号は、ファイルが更新されるごとに変更されます。

プレフィックス フィルター リストの生成には、Office 365 URL および IP アドレス範囲の使用を避ける多くの理由があります。次のような理由です。

  • Office 365 IP プレフィックスは、頻繁に多くの変更が行われます。

  • Office 365 の URL と IP アドレスの範囲は、ファイアウォールの許可リストとプロキシ インフラストラクチャを管理するために設計されています。ルーティング用には設計されていません。

  • Office 365 URL と IP アドレス範囲は、ExpressRoute 接続の範囲に含まれる可能性がある、その他の Microsoft サービスに対応していません。

オプション

複雑度

コントロールの変更

すべての Microsoft ルートを許可する

低:顧客は、すべてのルートが適切に所有されていることを確認するために、Microsoft コントロールを使用します。

なし

Microsoft 所有のスーパーネットをフィルター処理する

中: 顧客は、Microsoft が所有しているルートのみを許可する、集約されたプレフィックス フィルターのリストを実装します。

顧客は、頻度が低い更新プログラムがルート フィルターに反映されていることを確認する必要があります。

Office 365 の IP 範囲をフィルター処理する

警告: 推奨されません

高: 顧客は、定義されている Office 365 の IP プレフィックスに基づいて、ルートをフィルター処理します。

顧客は、毎月の更新プログラムに信頼性の高い変更管理プロセスを実装する必要があります。

注意: このソリューションには、重要な進行中の変更が必要になります。時間内に実装されない変更は、サービスを停止させる可能性があります。

Azure ExpressRoute を使用した Office 365 への接続は、Office 365 エンドポイントが展開されているネットワークを表す特定の IP サブネットの BGP アドバタイズに基づいて行われます。Office 365 が持つグローバルな性質と Office 365 を構成するサービスの数とに起因して、多くの場合、顧客はネットワーク上で承諾するアドバタイズを管理する必要があります。使用している環境にアドバタイズされたプレフィックスの数に関心がある場合は、BGP コミュニティ機能を使用すると、特定のセットの Office 365 サービスへのアドバタイズをフィルター処理することができます。現在、この機能はプレビューされています。

Microsoft からの BGP ルート アドバタイズを管理する方法に関係なく、インターネット回線のみで Office 365 に接続するのに比べて、Office 365 サービスに特別な公開が増えることはありません。Microsoft は、Office 365 に接続するために顧客が使用する回線の種類に関係なく、同じセキュリティ、コンプライアンス、およびパフォーマンス レベルを保持します。

セキュリティ

Microsoft では、ExpressRoute パブリックと Microsoft ピアリングに対する接続に、独自のネットワークおよびセキュリティの境界コントロールを保持することをお勧めします。この接続には、Office 365 サービスに対する接続が含まれます。セキュリティ コントロールは、お客様のネットワークから Microsoft のネットワークに送信するネットワーク要求、および Microsoft のネットワークからお客様のネットワークに受信するネットワーク要求に対して設定する必要があります。

顧客から Microsoft への送信

コンピューターが Office 365 に接続する場合、接続がインターネット経由か、ExpressRoute 回線経由であるかにかかわらず、同じエンドポイントのセットに接続します。使用されている回線に関係なく、Microsoft では、一般的なインターネットの接続先よりも信頼できる Office 365 サービスを扱うことをお勧めします。送信セキュリティ コントロールは、脅威にさらされる可能性を減らし、継続的なメンテナンスを最小限に抑えるために、ポートとプロトコルに集中する必要があります。必要なポートの情報は、Office 365 エンドポイントの参照記事で入手できます。

追加されたコントロールでは、プロキシ インフラストラクチャ内で FQDN レベルのフィルター処理を使用して、インターネットまたは Office 365 に対する一部またはすべてのネットワーク要求を制限または検査することができます。機能がリリースされ、Office 365 のサービスが展開する中、FQDN の一覧を保持するには、信頼性の高い変更管理と公開済みの Office 365 エンドポイントへの変更の追跡が必要です。

警告: Microsoft では、Office 365 に対する送信セキュリティを管理するために、IP プレフィックスだけに依存しないことをお勧めします。

オプション

複雑度

コントロールの変更

制限はありません。

低:顧客は、Microsoft への無制限の送信アクセスを許可します。

なし

ポートの制限

低: 顧客は、予想されるポートによって Microsoft への送信アクセスを制限します。

頻度は低いです。

FQDN の制限

高: 顧客は、公開済みの FQDN に基づいて Office 365 への送信アクセスを制限します。

毎月変更されます。

Microsoft から顧客への受信

Microsoft がお客様のネットワークに接続する必要がある、オプション シナリオがいくつかあります。

Microsoft は、複雑さを軽減するために、お客様が ExpressRoute 回線ではなく、インターネット回線経由でこれらの接続を承諾されることをお勧めします。コンプライアンスやパフォーマンスでディクテーションが必要な場合、これらの受信接続は ExpressRoute 回線経由で承諾される必要があります。承諾された接続を検査するために、ファイアウォールまたはリバース プロキシを使用することをお勧めします。Office 365 エンドポイントを使用して、正しい FQDN と IP プレフィックスを見つけることができます。

コンプライアンス

Microsoft は、コンプライアンスの制御にお客様が使用するルーティング パスに依存することはありません。Office 365 サービスに ExpressRoute 経由で接続しても、インターネット回線経由で接続しても、Microsoft のコンプライアンスの制御に変わりはありません。組織のニーズに最適な選択肢を見つけるには、Office 365 のさまざまなコンプライアンスとセキュリティ証明書のレベルを確認する必要があります。

戻る場合は、ショート リンク https://aka.ms/manageexpressroute365 をご利用ください。

関連トピック

コンテンツ配信ネットワーク
Office 365 URL および IP アドレス範囲
Office 365 エンドポイントを管理する
Office 365 向け Azure ExpressRoute トレーニング

スキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×