Gerenciar o ExpressRoute para conectividade do Office 365

O ExpressRoute para Office 365 oferece um caminho de roteamento alternativo para ter acesso a vários serviços do Office 365 sem precisar de todo o tráfego de saída com a Internet. Embora a conexão com a Internet para o Office 365 ainda seja necessária, as rotas específicas que a Microsoft anuncia pelo BGP para a sua rede tornam o circuito direto do ExpressRoute preferencial, a menos que existam outras configurações na sua rede. As três áreas comuns que talvez você queira configurar para gerenciar esse roteamento incluem filtragem de prefixo, segurança e conformidade.

Observação : A Microsoft mudou como o domínio de roteamento de Emparelhamento da Microsoft é avaliado para o Azure ExpressRoute. A partir de 31 de julho de 2017, todos os clientes do Azure ExpressRoute podem habilitar o Emparelhamento da Microsoft diretamente do console Administrativo do Azure ou por meio do PowerShell. Após habilitar o Emparelhamento da Microsoft, qualquer cliente poderá criar filtros de roteamento para receber anúncios de rota do BGP para aplicativos de Envolvimento de Clientes do Dynamics 365 (anteriormente conhecido como CRM Online). Os clientes que necessitam do Azure ExpressRoute para o Office 365 devem obter uma avaliação da Microsoft antes de poder criar filtros de roteamento para o Office 365. Entre em contato com a equipe da Conta da Microsoft para saber mais sobre como solicitar uma análise para habilitar o ExpressRoute do Office 365. Assinaturas não autorizadas tentando criar filtros de roteamento para o Office 365 receberão uma mensagem de erro

Filtragem do prefixo

A Microsoft recomenda que os clientes aceitem todas as rotas BGP conforme anunciado pela Microsoft. As rotas fornecidas passam por um processo rigoroso de revisão e validação removendo qualquer benefício de espionagem adicional. O ExpressRoute nativamente oferece controles recomendados como propriedade de prefixo IP, integridade e escala, sem filtragem de rota de entrada no lado do cliente.

Se você precisar de validação adicional de propriedade de rota em emparelhamento público do ExpressRoute, poderá verificar as rotas anunciadas em relação à lista de todos os prefixos IP dos tipos IPv4 e IPv6 que representam intervalos de IPs públicos da Microsoft. Esses intervalos cobrem o espaço de endereço completo da Microsoft e raramente são alterados, fornecendo um conjunto de intervalos confiável para filtrar que também fornece proteção adicional para os clientes que estiverem preocupados sobre as rotas que não pertençam à Microsoft vazarem para o ambiente deles. Caso haja uma alteração, ela será feita no 1º dia do mês, e o número da versão na seção detalhes da página será alterado sempre que o arquivo for atualizado.

Há vários motivos para evitar o uso dos intervalos de endereços IP e URLs do Office 365 para gerar listas de filtragem de prefixo, entre eles:

  • Os prefixos IP do Office 365 passam por muitas alterações regularmente.

  • Os intervalos de endereços IP e URLs do Office 365 destinam-se ao gerenciamento de listas de permissão do firewall e infraestrutura de Proxy, não ao roteamento.

  • Os intervalos de endereços IP e URLs do Office 365 não cobrem outros serviços da Microsoft que podem estar no escopo de suas conexões do ExpressRoute.

Opção

Complexidade

Controle de alterações

Aceitar todas as rotas da Microsoft

Baixa: O cliente depende dos controles da Microsoft para garantir que todas as rotas tenham a propriedade correta.

Nenhum

Filtrar super-redes de propriedade da Microsoft

Média: o cliente implementa listas resumidas de filtragem de prefixo para permitir somente as rotas de propriedade da Microsoft.

Os clientes devem garantir que as atualizações esporádicas sejam refletidas nos filtros de roteamento.

Filtrar intervalos de IP do Office 365

Aviso : Não recomendado

Alta: o cliente filtra rotas com base nos prefixos IP definidos do Office 365.

Os clientes devem implementar um processo robusto de gerenciamento de alterações para as atualizações mensais.

Cuidado : Esta solução exige alterações contínuas significativas. As alterações não implementadas em tempo provavelmente resultarão em uma interrupção do serviço.

A conexão com o Office 365 usando o Azure ExpressRoute baseia-se em anúncios BGP das sub-redes de IP específicas que representam redes onde os pontos de extremidade do Office 365 estão implantados. Devido à natureza global do Office 365 e o número de serviços que compõem o Office 365, os clientes geralmente precisam gerenciar os anúncios que aceitam em sua rede. Se você está preocupado com o número de prefixos anunciados em seu ambiente, o recurso Comunidade do BGP permite que você filtre os anúncios para um conjunto específico de serviços do Office 365. Este recurso agora está no modo de visualização.

Independentemente de como você gerencia os anúncios de rota de BGP vindos da Microsoft, não obterá exposição especial aos serviços do Office 365 quando comparado com a conexão ao Office 365 por um circuito de Internet sozinho. A Microsoft mantém os mesmos níveis de segurança, conformidade e desempenho independentemente do tipo de circuito que um cliente usa para se conectar ao Office 365.

Segurança

A Microsoft recomenda que você mantenha seus próprios controles de perímetro de rede e segurança para conexões indo para e do ExpressRoute público e emparelhamento da Microsoft, que inclui conexões para e de serviços do Office 365. Os controles de segurança devem ser utilizados para solicitações de rede que trafegam para fora, da sua rede para a rede da Microsoft, além de para dentro, da rede da Microsoft para a sua rede.

Saída do cliente para a Microsoft

Quando os computadores se conectam ao Office 365, eles se conectam ao mesmo conjunto de pontos de extremidade independentemente se a conexão for estabelecida por uma intranet ou um circuito do ExpressRoute. Independentemente de o circuito estar sendo usado, a Microsoft recomenda que você trate os serviços do Office 365 como mais confiáveis que os destinos de Internet genéricos. Seus controles de segurança de saída devem se concentrar nas portas e nos protocolos para reduzir a exposição e minimizar a manutenção contínua. As informações de portas necessárias estão disponíveis no artigo de referência Pontos de extremidade do Office 365.

Para obter outros controles, você poderá usar a filtragem de nível de FQDN dentro de sua infraestrutura de proxy para restringir ou inspecionar algumas ou todas as solicitações de rede destinadas à Internet ou Office 365. Manter a lista de FQDNs assim que os recursos são lançados e assim que as ofertas do Office 365 evoluem requer um processo mais robusto de gerenciamento de alterações e o controle de alterações para os pontos de extremidade do Office 365 publicados.

Aviso : A Microsoft recomenda que você não dependa exclusivamente de prefixos IP para gerenciar a segurança de saída para o Office 365

Opção

Complexidade

Controle de alterações

Sem restrições

Baixa: O cliente permite acesso irrestrito de saída para a Microsoft.

Nenhum

Restrições de porta

Baixa: o cliente restringe o acesso de saída para a Microsoft pelas portas esperadas.

Esporádicos.

Restrições de FQDN

Alta: o cliente restringe o acesso de saída para o Office 365 com base nos FQDNs publicados.

Alterações mensais.

Entrada da Microsoft para o cliente

Há vários cenários opcionais que exigem que a Microsoft inicie conexões com a sua rede.

A Microsoft recomenda que você aceite essas conexões em seu circuito de Internet em vez do seu circuito de ExpressRoute para reduzir a complexidade. Se suas necessidades de conformidade ou desempenho exigir que essas conexões de entrada sejam aceitas em um circuito de ExpressRoute, é recomendável usar um firewall ou proxy reverso para definir o escopo das conexões aceitas. Você pode usar os pontos de extremidade do Office 365 para descobrir as FQDNs e os prefixos IP certos.

Conformidade

Não nos baseamos no caminho de roteamento que você usa para nossos controles de conformidade. Os controles de conformidade não mudarão, independentemente de você se conectar aos serviços do Office 365 por meio de um circuito de Internet ou do ExpressRoute. Revise os diferentes níveis de certificação de segurança e conformidade para o Office 365 a fim de descobrir a melhor opção para atender às necessidades da organização.

Aqui está um link curto que você pode usar para voltar: https://aka.ms/manageexpressroute365

Tópicos Relacionados

Redes de distribuição de conteúdo
Intervalos de endereços IP e URLs do Office 365
Gerenciando pontos de extremidade do Office 365
Treinamento do Microsoft Azure ExpressRoute para Office 365

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×