Administrere Office 365-endepunkter

Office 365-nettverkstilkobling

16.11.2017Tilkoblinger til Office 365 består av klarerte nettverksforespørsler med høyt volum som yter best når de foretas over et utgående nettverkspunkt med lav ventetid som er nært brukeren. Noen Office 365-tilkoblinger kan dra nytte av optimalisering av tilkoblingen.

  1. Påse at tillatelseslistene i brannmuren tillater tilkobling til Office 365-endepunkter.

  2. Bruk proxy-infrastrukturen til å tillate Internett-tilkobling til jokertegnmål og mål som publisering er opphevet for.

  3. Vedlikehold en optimal perimeternettverkskonfigurasjon.

Koble til Office 365 gjennom brannmurer og proxyer.

Oppdater brannmurens utgående tillatelseslister

Du kan optimalisere nettverket ved å sende alle klarerte nettverksforespørsler for Office 365 direkte gjennom brannmuren, noe som omgår all ekstra inspeksjon eller behandling på pakkenivå. Dette reduserer dårlig ytelse grunnet ventetid, og reduserer dine krav til perimeterkapasitet. Den enkleste måten for å velge hvilke nettverksforespørsler man skal klarere på, er å bruke de forhåndsbygde PAC-filene på Proxyer-fanen ovenfor.

Hvis brannmuren blokkerer utgående trafikk, bør du sikre at alle IP-er og FQDN-er som er oppført som obligatorisk i denne XML-filen, er på tillatelseslisten. Vær oppmerksom på at alle tjenester krever bruk av noen tredjepartstjenester. Vi ikke gir ikke ut IP-adresser for disse tredjepartstjenestene, som for eksempel sertifikatleverandører, innholdsleveringsnettverk, DNS-leverandører og så videre. For at Office 365 skal fungere på riktig måte, må du kunne nå alle mål som kreves av Office 365, uavhengig av hvor mye informasjon vi publiserer om målet.

Mange mål har ikke publisert en IP-adresse eller vises som et jokertegndomene uten et fullstendig kvalifisert domenenavn. For å bruke denne funksjonaliteten må du være i stand til å løse disse nettverksforespørslene til den gjeldende forespurte IP-adressen og sende nettverksforespørselen via Internett.

Automatiser prosessen ved å bruke en brannmur som analyserer XML-filen på dine vegne og oppdaterer alle reglene automatisk, basert på tjenestene eller funksjonene du har tenkt å rute direkte gjennom brannmuren, eller som bruker Azure Range-verktøyet som er utviklet av fellesskapet og analyserer XML for deg, med eksportalternativer for Cisco XE Route eller ACL-listekonfigurasjon, ren tekst eller CSV.

En lengre forklaring av nettverksdestinasjonene er tilgjengelig på vårt referanseområde og gjennom vår RSS-baserte endringslogg, slik at du kan abonnere på endringer.

Konfigurere utgående baner med PAC-filer

Bruke PAC- eller WPAD-filer til å behandle nettverksforespørsler som er knyttet til Office 365, men som ikke har en IP-adresse. Nettverksforespørsler som sendes via en proxy- eller perimeterenhet, fører vanligvis til økt ventetid. Selv om proxy-godkjenning gir størst belastning, kan også andre tjenester, som for eksempel omdømmeoppslag og forsøk på å inspisere pakker, føre til en dårligere brukeropplevelse. I tillegg trenger disse enhetene på perimeternettverket nok kapasitet til å behandle alle forespørslene på nettverket. Vi anbefaler at proxyen eller inspeksjonsinfrastrukturen omgås for å oppnå direkte Office 365-nettverksforespørsler.

Bruk en PAC-fil til å bestemme hvilken nettverkstrafikk som skal sendes til en proxy, og hvilken som skal sendes til en brannmur. Hvis du ikke har brukt PAC- eller WPAD-filer før, kan du lese dette innlegget om å distribuere PAC-filer fra en av Office 365-konsulentene våre. Du bør håndtere disse som et utgangspunkt og tilpasse dem ditt miljø.

PAC-filer ble oppdatert 16.11.2017.

Det første eksemplet er en demonstrasjon av vår anbefalte fremgangsmåte for å administrere endepunktene bare via Internett. Omgår proxyen for Office 365-destinasjoner der IP-adressen er publisert, og sender gjenværende nettverksforespørsler til proxyen.

Kodesnutt:

// JavaScript source code

November2017 - Updates go live 1st Dec2017
//This PAC file contains all FQDNs needed for all services and splits the traffic between those which Microsoft can provide IPs for (so can be sent through a managed firewall with conditional access) and those which IPs cannot be provided for, so need to go to an unrestricted proxy or egress. 
//Due to the use of wildcards, some extra logic is provided to send traffic to the proxy before a 'direct' wildcard is hit.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    var proxyserver2 = "PROXY 10.10.10.11:8080"
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    //Catch explicit FQDNs which need the proxy but are covered under wildcarded FQDNs which have IPs. This has to be done first before the wildcard is hit

    if ((shExpMatch(host, "browser.pipe.aria.microsoft.com")) 
        || (shExpMatch(host, "compliance.outlook.com"))       
        || (shExpMatch(host, "mobile.pipe.aria.microsoft.com"))
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "r1.res.office365.com")) 
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "r3.res.outlook.com"))
        || (shExpMatch(host, "xsi.outlook.com")))

    {
        return proxyserver;
    }
        //Send FQDNs which Microsoft provide IPs for direct, so they can be sent via a firewall

    else if ((isPlainHostName(host))
    || (shExpMatch(host, "*.asm.skype.com"))
    || (shExpMatch(host, "*.broadcast.skype.com"))
    || (shExpMatch(host, "*.cc.skype.com"))
    || (shExpMatch(host, "*.config.skype.com"))
    || (shExpMatch(host, "*.conv.skype.com"))
    || (shExpMatch(host, "*.dc.trouter.io"))
    || (shExpMatch(host, "*.infra.lync.com"))
    || (shExpMatch(host, "*.lync.com"))
    || (shExpMatch(host, "*.msg.skype.com"))
    || (shExpMatch(host, "*.office365.com"))
    || (shExpMatch(host, "*.outlook.com"))
    || (shExpMatch(host, "*.outlook.office.com"))
    || (shExpMatch(host, "*.pipe.aria.microsoft.com"))
    || (shExpMatch(host, "*.pipe.skype.com"))
    || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
    || (shExpMatch(host, "*.protection.office.com"))
    || (shExpMatch(host, "*.sharepoint.com"))
    || (shExpMatch(host, "*.skypeforbusiness.com"))
    || (shExpMatch(host, "*.svc.ms"))
    || (shExpMatch(host, "*.teams.microsoft.com"))
    || (shExpMatch(host, "*.teams.skype.com"))
    || (shExpMatch(host, "*.yammer.com"))
    || (shExpMatch(host, "*.yammerusercontent.com"))
    || (shExpMatch(host, "*broadcast.officeapps.live.com"))
    || (shExpMatch(host, "*excel.officeapps.live.com"))
    || (shExpMatch(host, "*onenote.officeapps.live.com"))
    || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
    || (shExpMatch(host, "*view.officeapps.live.com"))
    || (shExpMatch(host, "*visio.officeapps.live.com"))
    || (shExpMatch(host, "*word-edit.officeapps.live.com"))
    || (shExpMatch(host, "*word-view.officeapps.live.com"))    
    || (shExpMatch(host, "account.office.net"))
    || (shExpMatch(host, "adminwebservice.microsoftonline.com"))
    || (shExpMatch(host, "agent.office.net"))
    || (shExpMatch(host, "apc.delve.office.com"))
    || (shExpMatch(host, "api.login.microsoftonline.com"))
    || (shExpMatch(host, "aus.delve.office.com"))
    || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))    
    || (shExpMatch(host, "can.delve.office.com"))
    || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
    || (shExpMatch(host, "ccs.login.microsoftonline.com"))
    || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
    || (shExpMatch(host, "clientlog.portal.office.com"))
    || (shExpMatch(host, "config.edge.skype.com"))
    || (shExpMatch(host, "controls.office.com"))
    || (shExpMatch(host, "cus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "delve.office.com"))
    || (shExpMatch(host, "device.login.microsoftonline.com"))    
    || (shExpMatch(host, "ea-000.tasks.osi.office.net"))
    || (shExpMatch(host, "eus-zzz.tasks.osi.office.net"))
    || (shExpMatch(host, "gbr.delve.office.com"))
    || (shExpMatch(host, "hip.microsoftonline-p.net"))
    || (shExpMatch(host, "hipservice.microsoftonline.com"))
    || (shExpMatch(host, "home.office.com"))
    || (shExpMatch(host, "ind.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "kor.delve.office.com"))
    || (shExpMatch(host, "lam.delve.office.com"))
    || (shExpMatch(host, "login.microsoft.com"))
    || (shExpMatch(host, "login.microsoftonline.com"))
    || (shExpMatch(host, "login.microsoftonline-p.com"))
    || (shExpMatch(host, "login.windows.net"))
    || (shExpMatch(host, "logincert.microsoftonline.com"))
    || (shExpMatch(host, "loginex.microsoftonline.com"))
    || (shExpMatch(host, "login-us.microsoftonline.com"))     
    || (shExpMatch(host, "nam.delve.office.com"))
    || (shExpMatch(host, "neu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "nexus.microsoftonline-p.com"))
    || (shExpMatch(host, "nexus.officeapps.live.com"))
    || (shExpMatch(host, "nexusrules.officeapps.live.com"))
    || (shExpMatch(host, "office.live.com")) 
    || (shExpMatch(host, "pipe.skype.com"))
    || (shExpMatch(host, "portal.microsoftonline.com"))
    || (shExpMatch(host, "portal.office.com"))
    || (shExpMatch(host, "prod.registrar.skype.com"))
    || (shExpMatch(host, "prod.tpc.skype.com"))
    || (shExpMatch(host, "provisioningapi.microsoftonline.com"))
    || (shExpMatch(host, "s-0001.s-msedge.net"))
    || (shExpMatch(host, "s-0004.s-msedge.net"))
    || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net"))   
    || (shExpMatch(host, "sea-000.tasks.osi.office.net"))    
    || (shExpMatch(host, "signup.microsoft.com"))
    || (shExpMatch(host, "stamp2.login.microsoftonline.com"))
    || (shExpMatch(host, "suite.office.net"))    
    || (shExpMatch(host, "tasks.office.com"))
    || (shExpMatch(host, "teams.microsoft.com"))
    || (shExpMatch(host, "testconnectivity.microsoft.com"))
    || (shExpMatch(host, "weu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "wus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "www.office.com"))
    || (shExpMatch(host, "www.sway.com")))
      
    {
        return "DIRECT";
    }
    else

        // Send all unknown IP traffic to Proxy for unrestricted access. This section is not necessary if you have a catchall for all other traffic to go to an unfiltered proxy. 
        //However the fqdns required, but for which we dont have IPs for, are listed here incase you need an explicit list.

    if ((shExpMatch(host, "*.aadrm.com")) 
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "*.adhybridhealth.azure.com"))    
        || (shExpMatch(host, "*.api.microsoftstream.com"))   
        || (shExpMatch(host, "*.api.skype.com"))
        || (shExpMatch(host, "*.assets-yammer.com"))   
        || (shExpMatch(host, "*.azurerms.com")) 
        || (shExpMatch(host, "*.azureedge.net"))            
        || (shExpMatch(host, "*.cloudapp.net")) 
        || (shExpMatch(host, "*.entrust.net")) 
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.helpshift.com"))   
        || (shExpMatch(host, "*.hockeyapp.net"))    
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    
        || (shExpMatch(host, "*.microsoft.com"))
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))
        || (shExpMatch(host, "*.msedge.net"))      
        || (shExpMatch(host, "*.msocdn.com"))   
        || (shExpMatch(host, "*.office.com"))   
        || (shExpMatch(host, "*.office.net")) 
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.secure.skypeassets.com"))  
        || (shExpMatch(host, "*.sfbassets.com"))
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))     
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))
        || (shExpMatch(host, "*.windows.net"))
        || (shExpMatch(host, "ad.atdmt.com")) 
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "ajax.aspnetcdn.com")) 
        || (shExpMatch(host, "aka.ms"))
        || (shExpMatch(host, "amp.azure.net")) 
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "broadcast.skype.com")) 
        || (shExpMatch(host, "cacerts.digicert.com"))        
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "compliance.outlook.com"))   
        || (shExpMatch(host, "connect.facebook.net"))        
        || (shExpMatch(host, "crl.globalsign.com"))
        || (shExpMatch(host, "crl3.digicert.com"))  
        || (shExpMatch(host, "crl4.digicert.com")) 
        || (shExpMatch(host, "dc.services.visualstudio.com")) 
        || (shExpMatch(host, "domains.live.com"))
        || (shExpMatch(host, "ecn.dev.virtualearth.net "))   
        || (shExpMatch(host, "eus-www.sway-cdn.com"))
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "eur.delve.office.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "firstpartyapps.oaspapps.com")) 
        || (shExpMatch(host, "graph.skype.com"))   
        || (shExpMatch(host, "groupsapi2-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi3-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi4-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi-prod.outlookgroups.ms")) 
        || (shExpMatch(host, "latest-swx.cdn.skype.com")) 
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com")) 
        || (shExpMatch(host, "management.azure.com"))        
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "ocsp.globalsign.com"))
        || (shExpMatch(host, "ocsp.msocsp.com"))       
        || (shExpMatch(host, "ocsp2.globalsign.com"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com")) 
        || (shExpMatch(host, "pipe.skype.com")) 
        || (shExpMatch(host, "platform.linkedin.com"))
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))
        || (shExpMatch(host, "prod.firstpartyapps.oaspapps.com.akadns.net")) 
        || (shExpMatch(host, "r1.res.office365.com"))
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "s.ytimg.com")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "secure.aadcdn.microsoftonline-p.com"))
        || (shExpMatch(host, "secure.globalsign.com")) 
        || (shExpMatch(host, "site-cdn.onenote.net")) 
        || (shExpMatch(host, "skydrive.wns.windows.com")) 
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))   
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))  
        || (shExpMatch(host, "staffhub.ms"))
        || (shExpMatch(host, "staffhub.uservoice.com")) 
        || (shExpMatch(host, "sway.com"))              
        || (shExpMatch(host, "swx.cdn.skype.com"))  
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))         
        || (shExpMatch(host, "telemetryservice.firstpartyapps.oaspapps.com"))    
        || (shExpMatch(host, "web.microsoftstream.com"))         
        || (shExpMatch(host, "wus-firstpartyapps.oaspapps.com"))  
        || (shExpMatch(host, "wus-www.sway-cdn.com"))
        || (shExpMatch(host, "wus-www.sway-extensions.com"))   
        || (shExpMatch(host, "xsi.outlook.com"))
        || (shExpMatch(url, "http://apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(url, "http://cert.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://crl.identrust.com/DSTROOTCAX3CRL.crl"))
        || (shExpMatch(url, "http://isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(url, "http://ocsp.digicert.com"))
        || (shExpMatch(url, "http://ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://ocsp.msocsp.com"))
        || (shExpMatch(url, "http://ocspx.digicert.com"))   
        || (shExpMatch(url, "https://assets.onestore.ms/cdnfiles/external/"))   
        || (shExpMatch(url, "https://cdn.optimizely.com/js/"))  
        || (shExpMatch(url, "https://nps.onyx.azure.net"))
        || (shExpMatch(url, "https://web.localytics.com/v3/localytics.js"))  
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertGlobalRootCA.crt"))
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertHighAssuranceEVRootCA.crt"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com"))
        || (shExpMatch(host, "www.youtube.com")))
        

    {
        return proxyserver;
    }

    //Catchall for all other traffic to another proxy 

else return proxyserver;
}

Det andre eksemplet er en demonstrasjon av vår anbefalte fremgangsmåte for å administrere tilkoblinger når ExpressRoute- og Internett-kretser er tilgjengelige. Sender annonserte destinasjoner for ExpressRoute til ExpressRoute-kretsen, og annonserte destinasjoner utelukkende fra Internett til proxyen.

Kodesnutt:

// JavaScript source code
//November2017 Update
// Consolidated FQDNs of URLS which are reachable via Microsoft peering over ExpressRoute. All other traffic sent to a proxy in this example. 
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your traffic flow needs and the Office 365 URL & IP page. 
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;
    //SUB-FQDNs of ExpressRoutable wildcards which need to be explicitly sent to the proxy at the top of the PAC because they arent ER routable
    if ((shExpMatch(host, "*.click.email.microsoftonline.com"))
        || (shExpMatch(host, "*.portal.microsoftonline.com")))					
    {
        return proxyserver;
    }
        //EXPRESS ROUTE DIRECT
    else if ((isPlainHostName(host))
            || (shExpMatch(host, "*.asm.skype.com"))
            || (shExpMatch(host, "*broadcast.officeapps.live.com"))
            || (shExpMatch(host, "*.cc.skype.com"))
            || (shExpMatch(host, "*.config.skype.com"))    
            || (shExpMatch(host, "*.conv.skype.com"))
            || (shExpMatch(host, "*.dc.trouter.io"))
            || (shExpMatch(host, "*excel.officeapps.live.com"))
            || (shExpMatch(host, "*.lync.com"))	
            || (shExpMatch(host, "*.microsoftonline.com"))
            || (shExpMatch(host, "*.msg.skype.com"))
            || (shExpMatch(host, "*onenote.officeapps.live.com"))
            || (shExpMatch(host, "*.outlook.office.com"))
            || (shExpMatch(host, "*.pipe.skype.com")) 
            || (shExpMatch(host, "*.pipe.aria.microsoft.com")) 
            || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
            || (shExpMatch(host, "*.protection.office.com"))
            || (shExpMatch(host, "*.protection.outlook.com"))						
            || (shExpMatch(host, "*.sharepoint.com")) 
            || (shExpMatch(host, "*.skypeforbusiness.com")) 
            || (shExpMatch(host, "*.svc.ms"))   
            || (shExpMatch(host, "*.teams.microsoft.com"))  
            || (shExpMatch(host, "*.teams.skype.com"))  
            || (shExpMatch(host, "*view.officeapps.live.com"))                                 
            || (shExpMatch(host, "*visio.officeapps.live.com"))
            || (shExpMatch(host, "*word-view.officeapps.live.com"))
            || (shExpMatch(host, "*word-edit.officeapps.live.com"))	
            || (shExpMatch(host, "autodiscover-*.outlook.com"))				
            || (shExpMatch(host, "apc.delve.office.com"))
            || (shExpMatch(host, "aus.delve.office.com"))
            || (shExpMatch(host, "account.office.net"))
            || (shExpMatch(host, "agent.office.net"))  
            || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))  
            || (shExpMatch(host, "can.delve.office.com")) 
            || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
            || (shExpMatch(host, "ccs.login.microsoftonline.com"))  
            || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
            || (shExpMatch(host, "config.edge.skype.com"))
            || (shExpMatch(host, "delve.office.com"))
            || (shExpMatch(host, "domains.live.com")) 
            || (shExpMatch(host, "eur.delve.office.com"))
            || (shExpMatch(host, "gbr.delve.office.com"))
            || (shExpMatch(host, "hip.microsoftonline-p.net"))
            || (shExpMatch(host, "home.office.com"))
            || (shExpMatch(host, "ind.delve.office.com"))
            || (shExpMatch(host, "jpn.delve.office.com"))
            || (shExpMatch(host, "kor.delve.office.com"))
            || (shExpMatch(host, "lam.delve.office.com"))
            || (shExpMatch(host, "login.microsoftonline-p.net"))				
            || (shExpMatch(host, "login.windows.net"))						
            || (shExpMatch(host, "login.microsoft.com"))
            || (shExpMatch(host, "nam.delve.office.com"))
            || (shExpMatch(host, "nexus.microsoftonline-p.net"))
            || (shExpMatch(host, "office.live.com")) 
            || (shExpMatch(host, "outlook.office365.com")) 
            || (shExpMatch(host, "pipe.skype.com"))	
            || (shExpMatch(host, "portal.office.com"))
            || (shExpMatch(host, "prod.registrar.skype.com"))
            || (shExpMatch(host, "prod.tpc.skype.com"))
            || (shExpMatch(host, "s-0001.s-msedge.net"))
            || (shExpMatch(host, "s-0004.s-msedge.net"))
            || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net"))
            || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net"))  
            || (shExpMatch(host, "signup.microsoft.com"))
            || (shExpMatch(host, "smtp.office365.com"))  
            || (shExpMatch(host, "suite.office.net")) 
            || (shExpMatch(host, "teams.microsoft.com"))  
            || (shExpMatch(host, "www.outlook.com"))   						
            || (shExpMatch(host, "www.office.com")))



       
    {
        return "DIRECT";
    }

        // If Azure public peering is available the following can be added to the Expressroute section above and sent direct via ER. If not these can be sent via the internet i.e delete them from the PAC file.
       
        //*.adhybridhealth.azure.com
        //*.cloudapp.net
        //*.blob.core.windows.net
        //*.hybridconfiguration.azurewebsites.net
        //*.keydelivery.mediaservices.windows.net
        //*.queue.core.windows.net
        //*.servicebus.windows.net - Port: 5671 (If 5671 is blocked, agent falls back to 443, but using 5671 is recommended.)
        //*.store.core.windows.net
        //*.streaming.mediaservices.windows.net
        //*.table.core.windows.net
        //compliance.outlook.com
        //dc.services.visualstudio.com
        //equivio.office.com
        //equivioprod*.cloudapp.net
        //hybridconfiguration.azurewebsites.net
        //liverdcxstorage.blob.core.windowsazure.com//
        //management.azure.com
        //mshrcstorageprod.blob.core.windows.net
        //office365servicehealthcommunications.cloudapp.net
        //office365zoom.cloudapp.net
        //policykeyservice.dc.ad.msft.net
        //protection.office.com
        //secure.aadcdn.microsoftonline-p.com
        //telemetry.remoteapp.windowsazure.com
        //vortex.data.microsoft.com
        //www.remoteapp.windowsazure.com
        //zoom-cs-prod*.cloudapp.net



        //Catchall for all other traffic to proxy
    else
    {
        return proxyserver;
    }
}

Det tredje eksemplet viser hvordan man sender alle nettverksforespørsler knyttet til Office 365 til ett enkelt mål. Dette brukes vanligvis til å hoppe over all inspeksjon av nettverksforespørsler for Office 365, og slik tilbys også et format der alle publiserte endepunkter er i listen i PAC-format, slik at du kan bruke det til dine tilpasninger.

Kodesnutt:

// JavaScript source code
//November 2017 Update new URLS go live 1st Dec2017 - Some URLs may have been removed from this file from previous versions as they are no longer required.
//Consolidated FQDNs required to access Office 365 - All services including optional components covered and elements covered under wildcards removed. 
//Some repeated domains have been consoliodated into unpublished wildcards in order to keep the file as small as possible.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    if ((shExpMatch(host, "*.adhybridhealth.azure.com"))
        || (shExpMatch(host, "*.api.microsoftstream.com"))  
        || (shExpMatch(host, "*.api.skype.com"))  
        || (shExpMatch(host, "*.asm.skype.com"))     
        || (shExpMatch(host, "*.assets-yammer.com"))
        || (shExpMatch(host, "*.azureedge.net"))   
        || (shExpMatch(host, "*.broadcast.skype.com"))
        || (shExpMatch(host, "*.cc.skype.com")) 
        || (shExpMatch(host, "*.cdn.skype.com")) 
        || (shExpMatch(host, "*.cloudapp.net")) 	
        || (shExpMatch(host, "*.config.skype.com")) 
        || (shExpMatch(host, "*.conv.skype.com"))
        || (shExpMatch(host, "*.crl.entrust.net"))
        || (shExpMatch(host, "*.dc.trouter.io"))
        || (shExpMatch(host, "*.digicert.com"))
        || (shExpMatch(host, "*.entrust.net")) 	        
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.giphy.com")) 
        || (shExpMatch(host, "*.globalsign.com"))
        || (shExpMatch(host, "*.helpshift.com")) 
        || (shExpMatch(host, "*.hockeyapp.net"))       							
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    	
        || (shExpMatch(host, "*.lync.com"))
        || (shExpMatch(host, "*.microsoft.com"))				
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))	
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))	
        || (shExpMatch(host, "*.msedge.net"))
        || (shExpMatch(host, "*.msg.skype.com")) 					
        || (shExpMatch(host, "*.msocdn.com"))
        || (shExpMatch(host, "*.notification.api.microsoftstream.com"))	
        || (shExpMatch(host, "*.ocsp.omniroot.com"))    			
        || (shExpMatch(host, "*.office365.com"))
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.office.com"))	
        || (shExpMatch(host, "*.office.net"))
        || (shExpMatch(host, "*.officeapps.live.com"))		 
        || (shExpMatch(host, "*.onenote.com"))				
        || (shExpMatch(host, "*.outlook.com"))	
        || (shExpMatch(host, "*.outlookgroups.ms"))  
        || (shExpMatch(host, "*.oaspapps.com"))
        || (shExpMatch(host, "*.pipe.skype.com")) 			
        || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.sfbassets.com"))  
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sharepoint.com"))	
        || (shExpMatch(host, "*.skypeforbusiness.com"))	
        || (shExpMatch(host, "*.streaming.mediaservices.windows.net"))	
        || (shExpMatch(host, "*.svc.ms")) 	
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))
        || (shExpMatch(host, "*.teams.skype.com"))
        || (shExpMatch(host, "*.users.storage.live.com"))
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))				
        || (shExpMatch(host, "*.windows.net"))	
        || (shExpMatch(host, "*.yammer.com"))	
        || (shExpMatch(host, "*.yammerusercontent.com"))         
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "aka.ms"))	
        || (shExpMatch(host, "ajax.aspnetcdn.com"))
        || (shExpMatch(host, "amp.azure.net"))	
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "c.bing.net"))
        || (shExpMatch(host, "cert.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "client.hip.live.com"))     
        || (shExpMatch(host, "config.edge.skype.com"))
        || (shExpMatch(host, "connect.facebook.net"))
        || (shExpMatch(host, "crl.identrust.com/DSTROOTCAX3CRL.crl"))	
        || (shExpMatch(host, "dc.services.visualstudio.com"))	
        || (shExpMatch(host, "eus-www.sway-cdn.com"))	
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "graph.skype.com"))
        || (shExpMatch(host, "hybridconfiguration.azurewebsites.net"))  
        || (shExpMatch(host, "isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com"))					
        || (shExpMatch(host, "management.azure.com"))
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "nps.onyx.azure.net"))   
        || (shExpMatch(host, "ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "ocsp.msocsp.com"))     
        || (shExpMatch(host, "ocsp.omniroot.com"))     
        || (shExpMatch(host, "officecdn.microsoft.com.edgesuite.net"))
        || (shExpMatch(host, "officecdn.microsoft.com.edgekey.net"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com"))
        || (shExpMatch(host, "pipe.skype.com"))	
        || (shExpMatch(host, "platform.linkedin.com"))								
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))				
        || (shExpMatch(host, "prod.registrar.skype.com")) 
        || (shExpMatch(host, "prod.tpc.skype.com")) 
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "s-0001.s-msedge.net")) 
        || (shExpMatch(host, "s-0004.s-msedge.net"))   
        || (shExpMatch(host, "s0.assets-yammer.com"))  
        || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "site-cdn.onenote.net"))
        || (shExpMatch(host, "skydrive.wns.windows.com"))
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))		
        || (shExpMatch(host, "ssw.live.com"))
        || (shExpMatch(host, "staffhub.ms))
        || (shExpMatch(host, "staffhub.uservoice.com"))    
        || (shExpMatch(host, "storage.live.com"))				
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))	
        || (shExpMatch(host, "tse1.mm.bing.net"))     
        || (shExpMatch(host, "web.microsoftstream.com"))     
        || (shExpMatch(host, "wus-www.sway-cdn.com"))						
        || (shExpMatch(host, "wus-www.sway-extensions.com"))        
        || (shExpMatch(host, "wu.client.hip.live.com"))     
        || (shExpMatch(host, "www.bing.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com")))



    {
        return proxyserver;
    }

        //Catchall for all other traffic to another proxy

    else return "PROXY 10.10.10.11:8080";
}

Her er noen flere verktøy fra fellesskapet.Hvis du har laget noe du vil dele, kan du legge igjen en merknad i kommentarfeltet. Ingen av fellesskapsverktøyene som det refereres til i denne artikkelen, er offisielt støttet eller vedlikeholdt av Microsoft, og er bare ment for å tilby praktisk hjelp.

  • Dette er det eldste fellesskapsgenererte verktøyet til å behandle prosessen. Verktøyet er bygget av et medlem av Office 365-fellesskapet. Dette er instruksjonene og nedlastingen.

  • Kjøpsbevis med brannmurregler som kan eksporteres: Microsoft Cloud IP API.

  • Fra IT Praktyk: Instruksjoner, RSS-konvertering og XML-konvertering.

  • Fra Peter Abele: Last ned.

  • Bruk nettverksanalysen til å bestemme hvilke nettverksforespørsler som skal omgå proxy-infrastrukturen. De vanligste FQDN-er som brukes til å omgå kundens proxyer, omfatter følgende på grunn av volumet på nettverkstrafikken som sendes og mottas fra disse endepunktene.

    outlook.office365.com
    outlook.office.com
    <tenant-name>.sharepoint.com
    <tenant-name>-my.sharepoint.com
    <tenant-name>-<app>.sharepoint.com
    *.Lync.com
    
  • Sørg for at nettverksforespørsler som sendes direkte til brannmuren, har en tilsvarende oppføring i tillatelseslisten for brannmuren slik at forespørselen kan gå gjennom.

Integrasjon av perimeternettverk

Visste du at Microsofts WAN er én av den største backbone-nettene i hele verden?

Det er sant – dette store nettverket sørger for at Office 365 og de andre skytjenestene fungerer uansett hvor i verden du er. Nettverket vårt har høy båndbredde, kort ventetid, failover-kompatible koblinger med flere tusen ruter av privateide mørke fiber og multi-Terabit-tilkoblinger mellom datasentre og edge-noder. Alt dette gjør det enklere å bruke skytjenestene våre.

Med et nettverk som dette gjør du lurt i å koble organisasjonens enheter til nettverket så snart som mulig. Med over 2500 nodenettrelasjoner fra Internettleverandører på verdensbasis og 70 punkter med tilstedeværelse er det smertefritt å flytte fra ditt til vårt nettverk. Det skader ikke å bruke noen minutter på å sikre at Internett-leverandørens nodenettrelasjon er den mest optimale. Her er noen eksempler på god og ikke fullt så god nettverksnoding til vårt nettverk.

Du kan manuelt eller automatisk konfigurere enhetene på nettverket til å håndtere nettverksforespørsler for Office 365-programmet på en optimal måte, avhengig av hvilket utstyr du bruker. De ulike konfigurasjonsendringene du må gjøre for å håndtere Office 365-nettverkstrafikk på en optimal måte, varierer avhengig av miljøet. Office 365-nettverksforespørsler kan dra nytte av nettverkskonfigurasjoner som muliggjør følgende:

  • Prioritet over mindre kritisk nettverkstrafikk.

  • Rute til et lokalt utgående nettverkspunkt for å unngå backhaul over trege WAN-koblinger, samtidig som du drar nytte av den korte ventetiden som er tilgjengelig på Microsoft-nettverket. Her er en god diskusjon som er basert på kunderelasjoner.

  • Bruk av DNS nært et lokalt utgående nettverkspunkt for å sikre at nettverksforespørselen som forlater det lokale utgående nettverkspunktet, kommer til den nærmeste Microsoft-plasseringen for nettverksnoding.

  • Ekskludering fra dyp pakkeinspeksjon eller annen intensiv behandling av nettverkspakker for å oppfylle kravene til ventetid i stor skala.

Moderne nettverksenheter har funksjoner som kan administrere nettverksforespørsler for klarerte programmer, som for eksempel Office 365, annerledes enn generisk, uklarert Internett-trafikk. Med det kommende landskapet av SD-WAN-løsninger kan slik differensiering av trafikk og banevalg utføres basert på kunnskap om den skiftende tilstanden til nettverket, for eksempel tidsbasert oversikt over tilgjengelighet, ventetid eller ytelse til ulike tilkoblingsbaner mellom brukeren og skyen.

Se Nettverks- og overføringsplanlegging for Office 365, Feilsøkingsplan for ytelse for Office 365, og Sjekkliste for distribusjonplanlegging for Office 365 for flere råd om planlegging av nettverkskonfigurasjonen din.

Slik implementerer du dette scenariet:

Ta kontakt med leverandøren av nettverksløsningen eller -tjenesten hvis de kan bruke Office 365-nettadresser og IP-definisjoner fra XML til å legge til rette for lokale (til brukeren), utgående nettverkspunkt med lave kostnader til Office 365-trafikk, administrere prioritet i forhold til andre programmer og justere nettverksbanen for Office 365-tilkoblinger til Microsoft-nettverket, avhengig av nettverksbetingelser som er i endring. Noen løsninger laster ned og automatiserer definering av Office 365-nettadresser og IP-XML-er i stablene sine.

Alltid forsikre deg om at den implementerte løsningen har den nødvendige graden av robusthet, riktig geo-redundans av nettverksbanen for Office 365-trafikken og tilpasser seg endringer av Office 365-nettadresser og IP-adresser etter hvert som de blir publisert.

Vanlige administratorspørsmål om tilkobling:

Klikk på koblingen nederst for å angi om artikkelen var nyttig eller ikke, eller for å sende inn flere spørsmål. Vi følger med på tilbakemeldingene og oppdaterer med vanlige spørsmål her.

Når nye endepunkter kunngjøres, er det vanligvis en buffer på 30 dager eller mer før de trer i kraft, og nettverksforespørsler sendes til disse. Denne bufferen er der for å sikre at kunder og partnere skal ha muligheten for å oppdatere systemene. Tillegg og fjerning for FQDN- og IP-prefiks behandles i XML-filen samtidig som kunngjøringen, noe som betyr at en ny FQDN vil være i XML-filen 30 dager før bruk. Siden vi slutter å sende nettverksforespørsler til endepunkter vi fjerner før vi annonserer fjerningen, er det allerede ute av bruk når vi fjerner endepunktet fra XML på samme tid som annonseringen.

Office 365-endepunkter publiseres på slutten av hver måned med 30 dagers varsel. Noen ganger oppstår endringer mer enn én gang i måneden, eller med kortere varselperioder. Når et endepunkt er lagt til, er ikrafttredelsesdatoen som er oppført i RSS-feeden, datoen nettverksforespørsler blir sendt til endepunktet etter. Hvis du akkurat har begynt å bruke RSS, finner du informasjon her om hvordan du kan abonnere via Outlook eller få RSS-oppdateringer sendt til deg på e-post.

Når du abonnere på RSS-feeden, kan du analysere informasjonen selv eller med et skript. Tabellen nedenfor beskriver formatet i RSS-feeden for å gjøre det enklere.

Inndeling

Del 1

Del 2

Del 3

Del 4

Del 5

Del 6

Beskrivelse

Antall

Etter denne datoen kan du forvente at nettverkets forespørsler blir sendt til endepunktet.

Grunnleggende beskrivelse av funksjonen eller tjenesten som krever endepunktet.

Kan du koble til dette endepunktet på en ExpressRoute-krets i tillegg til Internett?

Ja, du kan koble til dette endepunktet både på Internett og ExpressRoute.

Nei, du kan bare koble til dette endepunktet på Internett.

FQDN-målet eller IP-området som legges til eller fjernes.

Eksempel

1/

[Effektiv xx/xx/xxx.

Kreves: <beskrivelse>.

ExpressRoute:

<Ja/Nei>.

<FQDN/IP>],

En annen ting å være klar over, er at hver oppføring har et felles sett med skilletegn:

  • / – etter antallet

  • [ – hvis du vil angi oppføringen for antallet

  • . – brukt mellom hver distinkte del av oppføringen

  • ], – for å angi slutten på én enkelt oppføring.

  • ], – for å angi slutten på alle oppføringene.

Tenantplassering bestemmes best ved hjelp av vårt datasenterkart.

Plasseringer for nettverksnoding beskrives nærmere i nettverksnoding med Microsoft.

Med over 2500 nodenettrelasjoner fra Internettleverandører på verdensbasis og 70 punkter med tilstedeværelse er det smertefritt å flytte fra ditt til vårt nettverk. Det skader ikke å bruke noen minutter på å sikre at Internett-leverandørens nodenettrelasjon er den mest optimale. Her er noen eksempler på god og ikke fullt så god nettverksnoding til vårt nettverk.

Godtatte ExpressRoute-ruter defineres av Microsofts IP-adresseområder og de bestemte Office 365BGP-fellesskapene.

Vi legger regelmessig til nye funksjoner og tjenester i Office 365-programserien og gir enda flere muligheter for tilkobling. Hvis du abonnerer på E3 eller E5 SKU, er spørsmålet om endepunktlisten enkelt – du trenger alle endepunktene for å få all funksjonalitet i serien. Hvis du ikke abonnerer på en av disse SKU-ene, er forskjellen minimal med tanke på antall endepunkter.

På bildet nedenfor kan du se et eksempel fra en del av FQDN-tabellen i Office Online-delen. Radene er organisert etter funksjon og forskjeller i tilkobling. De to første radene angir at Office Online baserer seg på endepunktene som er merket som obligatorisk i Office 365-godkjenning og -identitet, og portalen og delte seksjoner. Det er vanlig at en tjeneste i Office 365 er avhengig av disse delte tjenestene. Den tredje raden angir klientmaskiner som må kunne nå *.officeapps.live.com for å bruke Office Online, og fjerde rad angir datamaskiner som også må kunne nå *.cdn.office.net for å bruke Office Online.

Selv om både rad tre og fire er nødvendig for å bruke Office Online, er de atskilt for å angi at målet er forskjellig:

  1. *.officeapps.live.com representerer ikke en CDN, noe som betyr at forespørsler til dette navneområdet går direkte til et Microsoft-datasenter.

  2. *.officeapps.live.com er tilgjengelig på ExpressRoute-kretser ved hjelp av Microsoft Peering.

  3. IP-adressene som er forbundet med Office Online og *.officeapps.live.com, finner du ved å følge denne koblingen.

  4. *.cdn.office.net representerer en CDN fra Akamai, noe som betyr at forespørsler til dette navneområdet går til et Akamai-datasenter.

  5. *.cdn.office.net er ikke tilgjengelig på ExpressRoute-kretser.

  6. IP-adressene som er forbundet med Office Online og *.cdn.office.net, er ikke tilgjengelige.

Skjermbilde av endepunktsiden

Vi gir bare ut IP-adresser for Office 365-serverne du ruter direkte til over Internett eller ExpressRoute. Dette er ikke en fullstendig liste over alle IP-adresser du ser nettverksforespørsler for. Du vil se nettverksforespørsler til Microsoft og tredjepartseide, upubliserte, IP-adresser. Disse IP-adressene er dynamisk generert eller administrert på en slik måte at de hindrer varsling innen rimelig tid når de endres. Hvis brannmuren ikke tillater tilgang basert på FQDN-er for disse nettverksforespørslene, kan du bruke en PAC- eller WPAD-fil til å administrere forespørslene.

Ser du en IP-adresse knyttet til Office 365 som du vil ha mer informasjon om?

  1. Se om IP-adressen er inkludert i et større publisert område ved hjelp av en CIDR-kalkulator.

  2. Se om en partner eier IP-adressen med en whois-spørring. Hvis den eies av Microsoft, kan det være en intern partner.

  3. Kontrollere sertifikatet, koble til IP-adressen i en nettleser ved hjelp av HTTPS://<IP_ADDRESS>, og sjekk domener som er oppført på sertifikatet for å forstå hvilke domener som er knyttet til IP-adressen. Hvis det er en Microsoft-eid IP-adresse og den ikke er på listen over Office 365 IP-adresser, er det sannsynlig at IP-adressen er knyttet til en Microsoft-CDN, som MSOCDN.NET eller et annet Microsoft-domene uten publisert IP-informasjon. Hvis du finner at domenet på sertifikatet er et hvor vi hevder å ha oppført IP-adressen, gi oss beskjed.

Office 365 og andre Microsoft-tjenester bruker flere tredjepartstjenester som Akamai og MarkMonitor for å forbedre opplevelsen din med Office 365. For å fortsette å gi deg den best mulige opplevelsen kan det hende at vi endrer disse tjenestene i fremtiden. Ved å gjøre det publiserer vi ofte CNAME-posten som peker til et domenenavn som eies av en tredjepart, en A-oppføring eller en IP-adresse. Domener fra tredjeparter kan være vert for innhold, for eksempel en CDN, eller de kan være vert for en tjeneste, for eksempel en tjeneste for geografisk trafikkstyring. Når du ser tilkoblinger til disse tredjepartene, er de i form av en omadressering eller henvisning, ikke en opprinnelig forespørsel fra klienten. Enkelte kunder må kontrollere at denne typen henvisning og omadressering har tillatelse til å sende, uten å eksplisitt legge til den lange listen av potensielle tredjepartstjenester som FQDN kan bruke.

Listen over tjenester kan endres når som helst. Noen av tjenestene som for øyeblikket er i bruk, inkluderer:

MarkMonitor er i bruk når du ser forespørsler som inkluderer *. nsatc.net. Denne tjenesten gir domenenavnet beskyttelse og overvåking for å beskytte deg mot ondsinnede handlinger.

ExactTarget er i bruk når du ser forespørsler om *. exacttarget.com. Denne tjenesten gir administrasjon og overvåking av e-postkobling mot ondsinnede handlinger.

Akamai er i bruk når du ser forespørsler som inneholder ett av følgende FQDN-er. Denne tjenesten gir geo-DNS og tjenester for innholdsleveringsnettverk.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

  • Du kobler til tredjepartstjenester for å hente grunnleggende Internett-tjenester som DNS-oppslag og henting av CDN-innhold. Du kan også koble til tredjepartstjenester for integreringer, for eksempel bygge inn YouTube-videoer i OneNote-notatblokkene.

  • Du kobler til sekundære tjenester som driftes og kjøres av Microsoft, for eksempel kantnoder som gjør at nettverket kan spørre om å få tilgang til Microsofts globale nettverk på den Internett-plasseringen som er nærmest din datamaskin. Da dette er det tredje største nettverket i verden, vil det forbedre tilkoblingsopplevelsen din. Du kobler også til Microsoft Azure-tjenester som Azure Media Services, som brukes av en rekke Office 365-tjenester.

  • Du kobler til primære Office 365-tjenester, for eksempel Exchange Online postboksserver eller til Skype for Business Online-serveren, der dine unike og rettighetsbeskyttede data er plassert. Du kan koble til de primære Office 365-tjenestene ved hjelp av FQDN eller IP-adresse, og bruke Internett- eller ExpressRoute-kretser. Du kan bare koble til tredjepart- og sekundærtjenestene ved hjelp av FQDN på en Internett-krets.

Diagrammet nedenfor viser forskjellene mellom disse tjenesteområdene. I dette diagrammet har det lokale kundenettverket nederst til venstre flere nettverksenheter til å hjelpe med å administrere nettverkstilkobling. Konfigurasjoner som denne er vanlig for bedriftskunder. Hvis nettverket bare har en brannmur mellom klientdatamaskinene og Internett, som støttes i tillegg, og du vil sikre at brannmuren støtter FQDN og jokertegn i tillat-listen.

Viser de tre forskjellige typene nettverksendepunkter når du bruker Office 365

Office 365er en pakke med tjenester laget for å fungere via Internett. Pålitelighets- og tilgjengelighetsløftene er basert på mange standard Internett-tjenester som er tilgjengelige. Standard Internett-tjenester, for eksempel DNS, CRL og CDN, må for eksempel kunne nås for å bruke Office 365, på samme måte som de må kunne nås for å bruke de fleste moderne Internett-tjenester.

I tillegg til disse grunnleggende Internett-tjenestene finnes det tredjepartstjenester som brukes bare til å integrere funksjonalitet. Hvis du for eksempel bruker Giphy.com i Microsoft Teams kan kunder sømløst inkludere GIF-filer i grupper. YouTube og Flickr er på samme måte tredjepartstjenester som brukes til sømløst å integrere video og bilder i Office-klienter fra Internett. Selv om disse er nødvendige for integrering, er de merket som valgfritt i artikkelen om Office 365-endepunkter, noe som betyr at kjernefunksjonaliteten til tjenesten vil fortsette å fungere hvis endepunktet ikke er tilgjengelig.

Hvis du prøver å brukeOffice 365 og finner at tredjepartstjenester ikke er tilgjengelige, bør du sikre at alle FQDN som er merket obligatorisk eller valgfri i denne artikkelen, er tillatt gjennom proxyen og brannmuren.

Sekundærtjenester er Microsoft-tjenester som ikke faller inn underOffice 365-kontrollen. Dette er ting som kantnettverket, Azure medietjenester og Azure innholdsleveringsnettverk. Alle disse er nødvendige når du bruker Office 365, og de må kunne nås.

Hvis du prøver å brukeOffice 365 og finner at tredjepartstjenester ikke er tilgjengelige, bør du sikre at alle FQDN som er merket obligatorisk eller valgfri i denne artikkelen, er tillatt gjennom proxyen og brannmuren.

Begrensning av tilgangen til forbrukertjenestene våre skal gjøres på egen risiko. Den eneste pålitelige måten å blokkere forbrukertjenestene på er å begrense tilgang til login.live.com FQDN. Denne FQDN brukes av et omfattende sett med tjenester, inkludert ikke-forbrukertjenester som MSDN, TechNet og andre. Begrensning av tilgangen til dette FQDN kan resultere i at du også må inkludere unntak for regelen for forespørsler om nettverket knyttet til disse tjenestene.

Husk at blokkering av tilgang til Microsoft forbrukertjenester alene ikke hindrer muligheten for andre i nettverket til å trekke ut informasjon ved hjelp av en Office 365-tenant eller en annen tjeneste.

Se også

IP-område for Microsoft Azure-datasenteret

Microsofts offentlige IP-område

Krav til nettverksinfrastruktur for Microsoft Intune

Power BI og ExpressRoute

Office 365 nettadresser og IP-addresseområder

Administrere ExpressRoute for Office 365-tilkobling

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Office Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

Takk for tilbakemeldingen! Det høres ut som det kan være lurt å sette deg i kontakt med én av våre Office-kundestøtteagenter.

×