Administrere ExpressRoute for Office 365-tilkobling

ExpressRoute for Office 365 tilbyr en alternativ rutingbane for å nå mange Office 365-tjenester uten å ha all trafikk til grensekontrollerpunktet til Internett. Selv om Internett-tilkoblingen til Office 365 fortsatt kreves, foretrekkes den direkte ExpressRoute-kretsen på grunn av de bestemte rutene som Microsoft opplyser om gjennom BGP til nettverket, med mindre det er andre konfigurasjoner på nettverket. De tre vanlige områdene du kanskje vil konfigurere for å administrere denne rutingen er prefiksfiltrering, sikkerhet og samsvar.

Merknad: Microsoft endret hvordan rutingdomenet for Microsoft nettverksnoding blir gjennomgått for Azure ExpressRoute. Fra 31. juli 2017 kan alle Azure ExpressRoute-kunder aktivere Microsoft nettverksnoding direkte fra den administrative konsollen for Azure eller via PowerShell. Når du har aktivert Microsoft nettverksnoding, kan en kunde opprette rutingfiltre for å motta BGP-rutingreklame for søknader om Dynamics 365-kundeavtaler (tidligere kalt CRM Online). Kunder som trenger Azure ExpressRoute for Office 365 må hente gjennomgang fra Microsoft før de kan opprette rutingfiltre for Office 365. Ta kontakt med ditt Microsoft-kontoteam for å lære hvordan du ber om en gjennomgang for å aktivere ExpressRoute for Office 365. Uautoriserte abonnementer som prøver å opprette rutingfiltre for Office 365 vil motta en feilmelding

Prefiksfiltrering

Microsoft anbefaler at kundene godtar alle BGP-ruter som annonsert fra Microsoft. Rutene som leveres, gjennomgår en streng vurdering, og godkjenningsprosessen fjerner alle fordelene med tillagt ettersyn. ExpressRoute kommer med anbefalte kontroller som for eksempel IP-prefikseierskap, integritet og skala – uten noen inngående rutefiltrering på kundesiden.

Hvis du trenger mer validering av ruteeierskap på tvers av offentlig ExpressRoute-nettverksnoding, kan du kontrollere de annonserte rutene mot listen over alle IPv4- og IPv6 IP-prefikser som representerer Microsofts offentlige IP-adresseområder. Disse områdene dekker hele Microsoft-adresseområdet og endres sjeldent. Dette gir et pålitelig sett med områder som kan filtreres mot, som også gir ytterligere beskyttelse til kunder som er bekymret for at ruter som ikke er Microsoft-eid, skal lekke inn i miljøet deres. I fall det blir gjort noen endring, blir dette på den første i hver måned, og versjonsnummeret i detaljer-delen av siden endres hver gang filen oppdateres.

Det finnes flere grunner til å unngå å bruke Office 365-nettadresser og IP-adresseområder for å generere prefiksfilterlister. Blant annet følgende:

  • Office 365 IP-prefiksene gjennomgår mange og hyppige endringer.

  • Office 365-nettadressene og IP-adresseområdene er utformet for å administrere tillatelseslister for brannmur og proxy-infrastruktur, men ikke ruting.

  • Office 365 nettadressene og IP-adresseområdene dekker ikke andre Microsoft-tjenester som kan finnes i omfanget for ExpressRoute-tilkoblingene.

Alternativ

Kompleksitet

Endre kontroll

Godta alle Microsoft-ruter

Lav: Kunde er avhengig av Microsoft-kontroller for å sikre at alle ruter eies på riktig vis.

Ingen

Filtrere Microsoft-eide supernett

Middels: Kunde implementerer oppsummerte prefiksfilterlister for å bare tillate Microsoft-eide ruter.

Kunden må skrive at de uregelmessige oppdateringene er reflektert i rutefiltrene.

Filtrer Office 365-IP-områder

Advarsel: Ikke-anbefalt

Høy: Kunde filtrerer ruter basert på definerte Office 365-IP-prefikser.

Kunder må implementere en robust prosess for endringshåndtering for de månedlige oppdateringene.

Forsiktig!: Denne løsningen krever betydelige varige endringer. Endringer ikke implementert i tide vil sannsynligvis resultere i et tjenesteavbrudd.

Tilkobling til Office 365 ved hjelp av Azure ExpressRoute er basert på BGP-annonser av bestemte IP-delnett som representerer nettverk der Office 365-endepunktene er distribuert. På grunn av Office 365 sin globale beskaffenhet og antall tjenester som utgjør Office 365, har kunder ofte behov for å behandle annonsene de godtar på nettverket. Hvis du er bekymret for antall prefikser annonsert i miljøet ditt, kan BGP fellesskap-funksjonen la deg filtrere annonser til et bestemt sett med Office 365-tjenester. Denne funksjonen er nå i prøvefasen.

Uansett hvordan du administrerer BGP-ruteannonsene som kommer fra Microsoft, får du ikke noen spesiell eksponering for Office 365-tjenester sammenlignet med å koble til Office 365 over kun en Internett-krets. Microsoft leverer samme nivåer for sikkerhet, samsvar og ytelse uansett hvilken kretstype en kunde bruker til å koble til Office 365.

Sikkerhet

Microsoft anbefaler at du driver ditt eget nettverk og sikkerhetsperimeterkontroller for tilkoblinger til og fra offentlig ExpressRoute og Microsoft-nettverksnoding, og dette inkluderer tilkoblinger til og fra Office 365-tjenester. Sikkerhetskontroller skal være implementert for utgående nettverkstrafikk til Microsofts nettverk samt inngående trafikk fra Microsofts nettverket til ditt eget nettverk.

Utgående fra kunde til Microsoft

Når datamaskiner kobler til Office 365, kobler de seg til det samme settet med endepunkter, uavhengig av om tilkoblingen er opprettet via en Internett- eller ExpressRoute-krets. Uavhengig av hvilken krets som brukes, anbefaler Microsoft at du behandler Office 365-tjenester som mer pålitelige enn generisk mål for Internett-tjenester. Sikkerhetskontrollene for utgående data må fokusere på porter og protokoller for å redusere eksponeringen og minimere jevnlig vedlikehold. Den nødvendige portinformasjonen er tilgjengelig i referanseartikkelen Office 365-endepunkter.

For ekstra kontroll kan du bruke FQDN-nivåfiltrering i infrastrukturen for mellomtjeneren din, for å begrense eller undersøke noen eller alle av nettverksforespørslene beregnet på Internett eller Office 365. Vedlikehold av FQDN-listene etter hvert som funksjoner utgis og Office 365-tilbud utvikles, krever mer robust endringsadministrering og sporing av endringer til de publiserte Office 365-endepunktene.

Advarsel: Microsoft anbefaler at du ikke er utelukkende avhengig av IP-prefikser for å håndtere utgående sikkerhet til Office 365

Alternativ

Kompleksitet

Endre kontroll

Ingen begrensninger

Lav: Kunde tillater ubegrenset utgående tilgang til Microsoft.

Ingen

Portbegrensninger

Lav: Kunde begrenser utgående tilgang til Microsoft etter de forventede portene.

Uregelmessig.

FQDN-begrensninger

Høy: Kunde begrenser utgående tilgang til Office 365 basert på de publiserte FQDN-ene.

Månedlige endringer.

Inngående fra Microsoft til kunde

Det finnes flere valgfrie scenarioer som krever Microsoft for å starte tilkoblinger til nettverket.

Microsoft anbefaler at du godtar disse tilkoblingene over Internett-kretsen din i stedet for ExpressRoute-kretsen, for å redusere kompleksitet. Hvis dine samsvars- eller ytelsesbehov krever at disse innkommende tilkoblingene godkjennes over en ExpressRoute-krets, anbefales det å bruke en brannmur eller omvendt mellomtjener til å begrense godtatte tilkoblinger. Du kan bruke Office 365-endepunktene for å komme frem til riktige FQDN-er og IP-prefikser.

Overholdelse

Vi er ikke avhengige av rutebanen du bruker for noen av samsvarskontrollene våte. Enten du kobler til Office 365-tjenester over en ExpressRoute- eller Internett-krets eller ikke, endres ikke samsvarskontrollene våre. Du bør se gjennom de ulike sertifiseringsnivåene for samsvar og sikkerhet for Office 365 for å finne det beste valget for å oppfylle behovene i organisasjonen.

Her er en kort kobling du kan bruke til å komme tilbake: https://aka.ms/manageexpressroute365

Beslektede emner

Nettverk for innholdslevering
Office 365-nettadresser og IP-adresseområder
Administrere endepunktene for Office 365
Azure ExpressRoute for Office 365-opplæring

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Office Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

Takk for tilbakemeldingen! Det høres ut som det kan være lurt å sette deg i kontakt med én av våre Office-kundestøtteagenter.

×