Zarządzanie łącznością usługi ExpressRoute dla usługi Office 365

Usługa ExpressRoute dla usługi Office 365 oferuje alternatywną ścieżkę routingu umożliwiającą dotarcie do wielu usług Office 365 bez konieczności wyprowadzania całego ruchu do Internetu. Mimo że połączenie internetowe z usługą Office 365 jest nadal potrzebne, określone ścieżki do Twojej sieci anonsowane przez firmę Microsoft za pośrednictwem BGP tworzą bezpośredni obwód usługi ExpressRoute, który jest preferowany, chyba że w Twojej sieci istnieją inne konfiguracje. Trzy typowe obszary, które warto skonfigurować, aby zarządzać tym routingiem, obejmują filtrowanie prefiksu, zabezpieczenia i zgodność.

Uwaga : Firma Microsoft zmieniła sposób recenzowania domeny routingu komunikacji równorzędnej firmy Microsoft dla usługi Azure ExpressRoute. Rozpoczynając od 31 lipca 2017 r., wszyscy klienci usługi Azure ExpressRoute mogą włączyć komunikację równorzędną firmy Microsoft bezpośrednio z poziomu konsoli administracyjnej platformy Azure lub za pomocą programu PowerShell. Po włączeniu komunikacji równorzędnej firmy Microsoft dowolny klient może tworzyć filtry trasy w celu odbierania ogłoszeń trasy BGP dla aplikacji Dynamics 365 Customer Engagement (wcześniej znanych pod nazwą CRM Online). Klienci wymagający usługi Azure ExpressRoute dla usługi Office 365 muszą uzyskać recenzję od firmy Microsoft, zanim będą mogli tworzyć filtry trasy dla usługi Office 365. Skontaktuj się z Twoim zespołem ds. konta Microsoft, aby dowiedzieć się, jak zażądać recenzji w celu włączenia usługi Office 365 ExpressRoute. Nieautoryzowane subskrypcje próbujące utworzyć filtry trasy dla usługi Office 365 otrzymają komunikat o błędzie.

Filtrowanie prefiksu

Firma Microsoft zaleca, aby klienci akceptowali wszystkie trasy BGP w formie anonsowanej przez firmę Microsoft — podawane trasy przechodzą rygorystyczny proces recenzji i weryfikacji, usuwający wszelkie korzyści w celu zwiększenia kontroli. Usługa ExpressRoute natywnie oferuje zalecane mechanizmy kontroli, takie jak własność prefiksu IP, integralność i skalę — bez filtrowania ścieżki przychodzącej po stronie klienta.

Jeśli wymagasz dodatkowej weryfikacji własności ścieżki w publicznej komunikacji równorzędnej usługi ExpressRoute, możesz porównać anonsowane trasy z listą wszystkich prefiksów IP protokołów IPv4 i IPv6, które reprezentują zakresy publicznych adresów IP firmy Microsoft. Te zakresy pokrywają całą przestrzeń adresów firmy Microsoft i zmieniają się rzadko, oferując niezawodny zestaw zakresów na potrzeby filtrowania, co zapewnia także dodatkową ochronę dla klientów, którzy mają wątpliwości co do ścieżek nienależących do firmy Microsoft wyciekających do ich środowiska. Jeśli nastąpi zmiana, będzie ona miała miejsce pierwszego dnia miesiąca, a numer wersji w sekcji szczegóły strony będzie zmieniany za każdym razem, gdy plik zostanie zaktualizowany.

Istnieje kilka powodów, dla których należy unikać używania zakresów adresów IP i adresów URL usługi Office 365 do generowania list filtrowania prefiksu. Są one między innymi następujące:

  • Prefiksy IP usługi Office 365 są często zmieniane.

  • Zakresy adresów IP i adresy URL usługi Office 365 są przeznaczone do zarządzania listami dozwolonych adresów zapory oraz infrastrukturą serwera proxy, a nie do routingu.

  • Zakresy adresów IP i adresy URL usługi Office 365 nie obejmują innych usług firmy Microsoft, które mogą należeć do obszaru połączeń usługi ExpressRoute.

Opcja

Złożoność

Kontrola zmiany

Akceptuj wszystkie trasy firmy Microsoft

Niska: klient polega na mechanizmach kontroli firmy Microsoft, aby zapewnić prawidłową własność wszystkich tras.

Brak

Filtruj supersieci będące własnością firmy Microsoft

Średnia: klient implementuje zbiorcze listy filtrowania prefiksów, aby zezwalać tylko na trasy będące własnością firmy Microsoft.

Klient musi zapewnić odzwierciedlanie aktualizacji, które zdarzają się rzadko, w filtrach tras.

Filtruj zakresy adresów IP usługi Office 365

Ostrzeżenie : Niezalecane

Wysoka: klient filtruje trasy na podstawie zdefiniowanych prefiksów IP usługi Office 365.

Klient musi zaimplementować zaawansowany proces zarządzania zmianami na potrzeby comiesięcznych aktualizacji.

Przestroga : To rozwiązanie wymaga ciągłych znacznych zmian. Zmiany nie zaimplementowane w odpowiednim czasie prawdopodobnie spowodują przerwę w działaniu usługi.

Nawiązywanie połączenia z usługą Office 365 za pomocą usługi Azure ExpressRoute jest oparte na anonsach BGP z użyciem określonych podsieci IP reprezentujących sieci, w których wdrożono punkty końcowe usługi Office 365. W związku z globalnym charakterem usługi Office 365 i zawartymi w niej licznymi usługami Office 365 klienci często muszą zarządzać anonsami, które przyjmują w swoich sieciach. Jeśli niepokoi Cię liczba prefiksów anonsowanych do Twojego środowiska, funkcja społeczności BGP umożliwia filtrowanie anonsów do określonego zestawu usług Office 365. Ta funkcja jest teraz w wersji preview.

Niezależnie od tego, jak zarządzasz anonsami tras BGP przychodzącymi z firmy Microsoft, nie uzyskasz żadnego specjalnego dostępu do usług Office 365 w porównaniu z nawiązywaniem połączenia z usługą Office 365 tylko za pomocą obwodu internetowego. Firma Microsoft zapewnia taki sam poziom zabezpieczeń, zgodności i wydajności niezależnie od typu obwodu, z którego korzysta klient, aby nawiązać połączenie z usługą Office 365.

Zabezpieczenia

Firma Microsoft zaleca, aby utrzymywać własne mechanizmy kontroli obwodu zabezpieczeń i sieci na potrzeby połączeń przychodzących i wychodzących z publicznej komunikacji równorzędnej usługi ExpressRoute i komunikacji równorzędnej firmy Microsoft, które obejmują połączenia z usługami Office 365. Mechanizmy kontroli zabezpieczeń powinny być stosowane dla żądań sieciowych wychodzących z Twojej sieci do sieci firmy Microsoft oraz przychodzących z sieci firmy Microsoft do Twojej sieci.

Połączenia wychodzące od klienta do firmy Microsoft

Gdy komputery nawiązują połączenie z usługą Office 365, łączą się z tym samym zestawem punktów końcowych niezależnie od tego, czy połączenie jest nawiązywane przez obwód internetowy, czy przez obwód usługi ExpressRoute. Bez względu na używany obwód, firma Microsoft zaleca, aby traktować usługi Office 365 jako bardziej zaufane niż ogólne internetowe miejsca docelowe. Mechanizmy kontroli zabezpieczeń połączeń wychodzących powinny być skoncentrowane na portach i protokołach w celu zmniejszenia widoczności i zminimalizowania stałej konserwacji. Informacje dotyczące wymaganych portów są dostępne w artykule Punkty końcowe usługi Office 365.

Na potrzeby dodatkowych mechanizmów kontroli możesz użyć filtrowania na poziomie nazw FQDN w obrębie swojej infrastruktury serwerów proxy, aby ograniczać lub badać niektóre lub wszystkie żądania przeznaczone dla Internetu lub usługi Office 365. Utrzymywanie listy nazw FQDN w miarę udostępniania funkcji i rozwijania ofert usługi Office 365 wymaga bardziej zaawansowanego zarządzania zmianami i śledzenia zmian w publikowanych punktach końcowych usługi Office 365.

Ostrzeżenie : Firma Microsoft zaleca, aby nie polegać wyłącznie na prefiksach IP w ramach zarządzania zabezpieczeniami połączeń wychodzących do usługi Office 365.

Opcja

Złożoność

Kontrola zmiany

Bez ograniczeń

Niska: klient zezwala na nieograniczony dostęp połączeń wychodzących do firmy Microsoft.

Brak

Ograniczenia portów

Niska: klient ogranicza dostęp połączeń wychodzących do firmy Microsoft na podstawie oczekiwanych portów.

Niezbyt często

Ograniczenia nazw FQDN

Wysoka: klient ogranicza dostęp połączeń wychodzących do usługi Office 365 na podstawie opublikowanych nazw FQDN.

Comiesięczne zmiany

Połączenia przychodzące od firmy Microsoft do klienta

Istnieje kilka opcjonalnych scenariuszy, które wymagają, aby firma Microsoft zainicjowała połączenia z Twoją siecią.

Firma Microsoft zaleca, aby akceptować te połączenia za pomocą obwodu internetowego, a nie obwodu usługi ExpressRoute, w celu zmniejszenia złożoności. Jeśli Twoje potrzeby związane ze zgodnością lub wydajnością wymagają, aby te połączenia przychodzące były akceptowane za pośrednictwem obwodu usługi ExpressRoute, zaleca się użycie zapory lub zwrotnego serwera proxy w celu ustalenia zakresu akceptowanych połączeń. Aby określić właściwe nazwy FQDN i prefiksy IP, można skorzystać z punktów końcowych usługi Office 365.

Zgodność

Nie polegamy na ścieżce routingu używanej przez Ciebie na potrzeby któregokolwiek z naszych mechanizmów kontroli zgodności. Niezależnie od tego, czy łączysz się z usługą Office 365 za pomocą obwodu usługi ExpressRoute, czy za pomocą obwodu internetowego, nasze mechanizmy kontroli zgodności nie zmienią się. Należy zapoznać się z różnymi poziomami certyfikatów zabezpieczeń i zgodności dla usługi Office 365, aby ustalić najlepszą opcję spełniającą wymogi Twojej organizacji.

Oto krótki link, którego możesz użyć, aby tu wrócić: https://aka.ms/manageexpressroute365

Tematy pokrewne

Sieci dostarczania zawartości
Adresy URL i zakresy adresów IP usługi Office 365
Zarządzanie punktami końcowymi usługi Office 365
Usługa ExpressRoute platformy Azure dla szkoleń dotyczących usługi Office 365

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów pakietu Office

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×