Gerenciar pontos de extremidade do Office 365

Conectividade da rede de Office 365

04/10/2017 As conexões ao Office 365 consistem em solicitações de rede confiáveis de alto volume que apresentam melhor desempenho quando ocorrem por meio de uma saída com baixa latência próxima ao usuário. Algumas conexões do Office 365 podem ser beneficiadas pela otimização da conexão.

  1. Garanta que sua listas de permissões de firewall permite conectividade com pontos de extremidade do Office 365.

  2. Use sua infraestrutura de proxy para permitir conectividade com a Internet para caractere curinga e destinos não publicados.

  3. Mantenha uma configuração de rede de perímetro ideal.

Conectando-se ao Office 365 por meio de proxies e firewalls.

Atualizar as listas de permissões de saída de seu firewall

Você pode otimizar a rede enviando solicitações de rede confiáveis do Office 365 diretamente por meio do firewall, ignorando toda a inspeção de nível de pacote adicional ou o processamento. Isso reduz o desempenho lento de latência e seus requisitos de capacidade de perímetro. A maneira mais fácil para escolher em quais solicitações de rede confiar é usar nossos arquivos PAC previamente criados na guia Proxies acima.

Se seu firewall bloquear o tráfego de saída, verifique se todos os IPs e FQDNs listados como Necessário neste arquivo XML estão na lista de permissões. Identifique todos os serviços que exigem o uso de alguns serviços de terceiros. Não fornecemos endereços IP para esses serviços de terceiros, como provedores de certificados, Redes de Fornecimento de Conteúdo, provedores de DNS e assim por diante. Para a funcionalidade completa do Office 365, você deve poder alcançar todos os destinos solicitados pelo Office 365, independentemente de quantas informações publicamos sobre o destino.

Muitos destinos não têm um endereço IP publicado ou são listados como um domínio curinga sem nenhum nome de domínio totalmente qualificado, para usar esta funcionalidade você deve poder resolver essas solicitações de rede para o endereço IP atual que está sendo solicitado e enviar a solicitação de rede pela Internet.

Automatize seu processo usando um firewall que analisa o arquivo XML em seu nome e atualiza suas regras automaticamente com base nos serviços ou recursos que você deseja rotear diretamente pelo firewall. Você também pode usar a ferramenta Azure Range que foi criada pela comunidade e analisa o XML para você com opções de exportação para o roteamento do Cisco XE ou a configuração de lista ACL, texto sem formatação ou CSV.

Uma explicação mais longa dos destinos de rede está disponível no nosso site de referência, bem como no nosso log de alterações baseado em RSS, para que você possa se inscrever para receber alterações.

Configurar caminhos de saída com arquivos PAC

Use arquivos PAC ou WPAD para gerenciar solicitações de rede associadas ao Office 365, mas que não têm um endereço IP fornecido. Normalmente, solicitações de rede que são enviadas por meio de um dispositivo de proxy ou perímetro incorrem em latência adicional. Enquanto a autenticação de proxy incorre na maior taxa, outros serviços como a pesquisa de reputação e as tentativas de inspecionar pacotes podem causar uma experiência ruim. Além disso, esses dispositivos de perímetro de rede precisam de capacidade suficiente para processar todas as solicitações de rede. É recomendável ignorar sua infraestrutura de inspeção ou proxy para solicitações de rede diretas do Office 365.

Use um dos arquivos PAC como ponto de partida para determinar qual tráfego de rede será enviado para um proxy e qual será enviado para um firewall. Se você não estiver acostumado com arquivos PAC ou WPAD, leia este post sobre como implantar arquivos PAC de um dos nossos consultores do Office 365. Analise-os como ponto de partida e edite para atender ao seu ambiente.

Arquivos PAC atualizados em 10/4/2017.

O primeiro exemplo é uma demonstração da nossa abordagem recomendada para o gerenciamento de pontos de extremidade somente pela Internet. Ignora o proxy para destinos do Office 365 em que o endereço IP é publicado e envia as solicitações de rede restantes para o proxy.

Trecho de código:

// JavaScript source code

October 2017 - Updates go live 1st Nov 2017
//This PAC file contains all FQDNs needed for all services and splits the traffic between those which Microsoft can provide IPs for (so can be sent through a managed firewall with conditional access) and those which IPs cannot be provided for, so need to go to an unrestricted proxy or egress. 
//Due to the use of wildcards, some extra logic is provided to send traffic to the proxy before a 'direct' wildcard is hit.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    var proxyserver2 = "PROXY 10.10.10.11:8080"
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    //Catch explicit FQDNs which need the proxy but are covered under wildcarded FQDNs which have IPs. This has to be done first before the wildcard is hit

    if ((shExpMatch(host, "browser.pipe.aria.microsoft.com")) 
        || (shExpMatch(host, "compliance.outlook.com"))       
        || (shExpMatch(host, "mobile.pipe.aria.microsoft.com"))
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "r1.res.office365.com")) 
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "r3.res.outlook.com"))
        || (shExpMatch(host, "xsi.outlook.com")))

    {
        return proxyserver;
    }
        //Send FQDNs which Microsoft provide IPs for direct, so they can be sent via a firewall

    else if ((isPlainHostName(host))
    || (shExpMatch(host, "*.asm.skype.com"))
    || (shExpMatch(host, "*.broadcast.skype.com"))
    || (shExpMatch(host, "*.cc.skype.com"))
    || (shExpMatch(host, "*.config.skype.com"))
    || (shExpMatch(host, "*.conv.skype.com"))
    || (shExpMatch(host, "*.dc.trouter.io"))
    || (shExpMatch(host, "*.infra.lync.com"))
    || (shExpMatch(host, "*.lync.com"))
    || (shExpMatch(host, "*.msg.skype.com"))
    || (shExpMatch(host, "*.office365.com"))
    || (shExpMatch(host, "*.outlook.com"))
    || (shExpMatch(host, "*.outlook.office.com"))
    || (shExpMatch(host, "*.pipe.aria.microsoft.com"))
    || (shExpMatch(host, "*.pipe.skype.com"))
    || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
    || (shExpMatch(host, "*.protection.office.com"))
    || (shExpMatch(host, "*.sharepoint.com"))
    || (shExpMatch(host, "*.skypeforbusiness.com"))
    || (shExpMatch(host, "*.svc.ms"))
    || (shExpMatch(host, "*.teams.microsoft.com"))
    || (shExpMatch(host, "*.teams.skype.com"))
    || (shExpMatch(host, "*.yammer.com"))
    || (shExpMatch(host, "*.yammerusercontent.com"))
    || (shExpMatch(host, "*broadcast.officeapps.live.com"))
    || (shExpMatch(host, "*excel.officeapps.live.com"))
    || (shExpMatch(host, "*onenote.officeapps.live.com"))
    || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
    || (shExpMatch(host, "*view.officeapps.live.com"))
    || (shExpMatch(host, "*visio.officeapps.live.com"))
    || (shExpMatch(host, "*word-edit.officeapps.live.com"))
    || (shExpMatch(host, "*word-view.officeapps.live.com"))    
    || (shExpMatch(host, "account.office.net"))
    || (shExpMatch(host, "adminwebservice.microsoftonline.com"))
    || (shExpMatch(host, "agent.office.net"))
    || (shExpMatch(host, "apc.delve.office.com"))
    || (shExpMatch(host, "api.login.microsoftonline.com"))
    || (shExpMatch(host, "aus.delve.office.com"))
    || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))    
    || (shExpMatch(host, "can.delve.office.com"))
    || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
    || (shExpMatch(host, "ccs.login.microsoftonline.com"))
    || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
    || (shExpMatch(host, "clientlog.portal.office.com"))
    || (shExpMatch(host, "config.edge.skype.com"))
    || (shExpMatch(host, "controls.office.com"))
    || (shExpMatch(host, "cus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "delve.office.com"))
    || (shExpMatch(host, "device.login.microsoftonline.com"))    
    || (shExpMatch(host, "ea-000.tasks.osi.office.net"))
    || (shExpMatch(host, "eus-zzz.tasks.osi.office.net"))
    || (shExpMatch(host, "gbr.delve.office.com"))
    || (shExpMatch(host, "hip.microsoftonline-p.net"))
    || (shExpMatch(host, "hipservice.microsoftonline.com"))
    || (shExpMatch(host, "home.office.com"))
    || (shExpMatch(host, "ind.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "kor.delve.office.com"))
    || (shExpMatch(host, "lam.delve.office.com"))
    || (shExpMatch(host, "login.microsoft.com"))
    || (shExpMatch(host, "login.microsoftonline.com"))
    || (shExpMatch(host, "login.microsoftonline-p.com"))
    || (shExpMatch(host, "login.windows.net"))
    || (shExpMatch(host, "logincert.microsoftonline.com"))
    || (shExpMatch(host, "loginex.microsoftonline.com"))
    || (shExpMatch(host, "login-us.microsoftonline.com"))     
    || (shExpMatch(host, "nam.delve.office.com"))
    || (shExpMatch(host, "neu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "nexus.microsoftonline-p.com"))
    || (shExpMatch(host, "nexus.officeapps.live.com"))
    || (shExpMatch(host, "nexusrules.officeapps.live.com"))
    || (shExpMatch(host, "pipe.skype.com"))
    || (shExpMatch(host, "portal.microsoftonline.com"))
    || (shExpMatch(host, "portal.office.com"))
    || (shExpMatch(host, "prod.registrar.skype.com"))
    || (shExpMatch(host, "prod.tpc.skype.com"))
    || (shExpMatch(host, "provisioningapi.microsoftonline.com"))
    || (shExpMatch(host, "s-0001.s-msedge.net"))
    || (shExpMatch(host, "s-0004.s-msedge.net"))
    || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net"))   
    || (shExpMatch(host, "sea-000.tasks.osi.office.net"))    
    || (shExpMatch(host, "signup.microsoft.com"))
    || (shExpMatch(host, "stamp2.login.microsoftonline.com"))
    || (shExpMatch(host, "suite.office.net"))    
    || (shExpMatch(host, "tasks.office.com"))
    || (shExpMatch(host, "teams.microsoft.com"))
    || (shExpMatch(host, "testconnectivity.microsoft.com"))
    || (shExpMatch(host, "weu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "wus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "www.office.com"))
    || (shExpMatch(host, "www.sway.com")))
      
    {
        return "DIRECT";
    }
    else

        // Send all unknown IP traffic to Proxy for unrestricted access. This section is not necessary if you have a catchall for all other traffic to go to an unfiltered proxy. 
        //However the fqdns required, but for which we dont have IPs for, are listed here incase you need an explicit list.

    if ((shExpMatch(host, "*.aadrm.com")) 
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "*.adhybridhealth.azure.com"))    
        || (shExpMatch(host, "*.api.microsoftstream.com"))   
        || (shExpMatch(host, "*.api.skype.com"))
        || (shExpMatch(host, "*.assets-yammer.com"))   
        || (shExpMatch(host, "*.azurerms.com")) 
        || (shExpMatch(host, "*.azureedge.net"))            
        || (shExpMatch(host, "*.cloudapp.net")) 
        || (shExpMatch(host, "*.entrust.net")) 
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.helpshift.com"))   
        || (shExpMatch(host, "*.hockeyapp.net"))    
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    
        || (shExpMatch(host, "*.microsoft.com"))
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))
        || (shExpMatch(host, "*.msedge.net"))      
        || (shExpMatch(host, "*.msocdn.com"))   
        || (shExpMatch(host, "*.office.com"))   
        || (shExpMatch(host, "*.office.net")) 
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.secure.skypeassets.com"))  
        || (shExpMatch(host, "*.sfbassets.com"))
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))     
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))
        || (shExpMatch(host, "*.windows.net"))
        || (shExpMatch(host, "ad.atdmt.com")) 
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "ajax.aspnetcdn.com")) 
        || (shExpMatch(host, "aka.ms"))
        || (shExpMatch(host, "amp.azure.net")) 
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "broadcast.skype.com")) 
        || (shExpMatch(host, "cacerts.digicert.com"))        
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "compliance.outlook.com"))   
        || (shExpMatch(host, "connect.facebook.net"))        
        || (shExpMatch(host, "crl.globalsign.com"))
        || (shExpMatch(host, "crl3.digicert.com"))  
        || (shExpMatch(host, "crl4.digicert.com")) 
        || (shExpMatch(host, "dc.services.visualstudio.com")) 
        || (shExpMatch(host, "domains.live.com"))
        || (shExpMatch(host, "ecn.dev.virtualearth.net "))   
        || (shExpMatch(host, "eus-www.sway-cdn.com"))
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "eur.delve.office.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "firstpartyapps.oaspapps.com")) 
        || (shExpMatch(host, "graph.skype.com"))   
        || (shExpMatch(host, "groupsapi2-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi3-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi4-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi-prod.outlookgroups.ms")) 
        || (shExpMatch(host, "latest-swx.cdn.skype.com")) 
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com")) 
        || (shExpMatch(host, "management.azure.com"))        
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "ocsp.globalsign.com"))
        || (shExpMatch(host, "ocsp.msocsp.com"))       
        || (shExpMatch(host, "ocsp2.globalsign.com"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com")) 
        || (shExpMatch(host, "pipe.skype.com")) 
        || (shExpMatch(host, "platform.linkedin.com"))
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))
        || (shExpMatch(host, "prod.firstpartyapps.oaspapps.com.akadns.net")) 
        || (shExpMatch(host, "r1.res.office365.com"))
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "s.ytimg.com")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "secure.aadcdn.microsoftonline-p.com"))
        || (shExpMatch(host, "secure.globalsign.com")) 
        || (shExpMatch(host, "site-cdn.onenote.net")) 
        || (shExpMatch(host, "skydrive.wns.windows.com")) 
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))   
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))  
        || (shExpMatch(host, "staffhub.ms"))
        || (shExpMatch(host, "staffhub.uservoice.com")) 
        || (shExpMatch(host, "sway.com"))              
        || (shExpMatch(host, "swx.cdn.skype.com"))  
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))         
        || (shExpMatch(host, "telemetryservice.firstpartyapps.oaspapps.com"))    
        || (shExpMatch(host, "web.microsoftstream.com"))         
        || (shExpMatch(host, "wus-firstpartyapps.oaspapps.com"))  
        || (shExpMatch(host, "wus-www.sway-cdn.com"))
        || (shExpMatch(host, "wus-www.sway-extensions.com"))   
        || (shExpMatch(host, "xsi.outlook.com"))
        || (shExpMatch(url, "http://apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(url, "http://cert.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://crl.identrust.com/DSTROOTCAX3CRL.crl"))
        || (shExpMatch(url, "http://isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(url, "http://ocsp.digicert.com"))
        || (shExpMatch(url, "http://ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://ocsp.msocsp.com"))
        || (shExpMatch(url, "http://ocspx.digicert.com"))   
        || (shExpMatch(url, "https://assets.onestore.ms/cdnfiles/external/"))   
        || (shExpMatch(url, "https://cdn.optimizely.com/js/"))  
        || (shExpMatch(url, "https://nps.onyx.azure.net"))
        || (shExpMatch(url, "https://web.localytics.com/v3/localytics.js"))  
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertGlobalRootCA.crt"))
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertHighAssuranceEVRootCA.crt"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com"))
        || (shExpMatch(host, "www.youtube.com")))
        

    {
        return proxyserver;
    }

    //Catchall for all other traffic to another proxy 

else return proxyserver;
}

O segundo exemplo é uma demonstração da nossa abordagem recomendada para gerenciar conexões quando circuitos do ExpressRoute e da Internet estiverem disponíveis. Envia os destinos anunciados do ExpressRoute para o circuito do ExpressRoute e destinos anunciados somente pela Internet para o proxy.

Trecho de código:

// JavaScript source code
//October2017 Update
// Consolidated FQDNs of URLS which are reachable via Microsoft peering over ExpressRoute. All other traffic sent to a proxy in this example. 
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your traffic flow needs and the Office 365 URL & IP page. 
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;
    //SUB-FQDNs of ExpressRoutable wildcards which need to be explicitly sent to the proxy at the top of the PAC because they arent ER routable
    if ((shExpMatch(host, "*.click.email.microsoftonline.com"))
        || (shExpMatch(host, "*.portal.microsoftonline.com")))					
    {
        return proxyserver;
    }
        //EXPRESS ROUTE DIRECT
    else if ((isPlainHostName(host))
            || (shExpMatch(host, "*.asm.skype.com"))
            || (shExpMatch(host, "*broadcast.officeapps.live.com"))
            || (shExpMatch(host, "*.cc.skype.com"))
            || (shExpMatch(host, "*.config.skype.com"))    
            || (shExpMatch(host, "*.conv.skype.com"))
            || (shExpMatch(host, "*.dc.trouter.io"))
            || (shExpMatch(host, "*excel.officeapps.live.com"))
            || (shExpMatch(host, "*.lync.com"))	
            || (shExpMatch(host, "*.microsoftonline.com"))
            || (shExpMatch(host, "*.msg.skype.com"))
            || (shExpMatch(host, "*onenote.officeapps.live.com"))
            || (shExpMatch(host, "*.outlook.office.com"))
            || (shExpMatch(host, "*.pipe.skype.com")) 
            || (shExpMatch(host, "*.pipe.aria.microsoft.com")) 
            || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
            || (shExpMatch(host, "*.protection.office.com"))
            || (shExpMatch(host, "*.protection.outlook.com"))						
            || (shExpMatch(host, "*.sharepoint.com")) 
            || (shExpMatch(host, "*.skypeforbusiness.com")) 
            || (shExpMatch(host, "*.svc.ms"))   
            || (shExpMatch(host, "*.teams.microsoft.com"))  
            || (shExpMatch(host, "*.teams.skype.com"))  
            || (shExpMatch(host, "*view.officeapps.live.com"))                                 
            || (shExpMatch(host, "*visio.officeapps.live.com"))
            || (shExpMatch(host, "*word-view.officeapps.live.com"))
            || (shExpMatch(host, "*word-edit.officeapps.live.com"))	
            || (shExpMatch(host, "autodiscover-*.outlook.com"))				
            || (shExpMatch(host, "apc.delve.office.com"))
            || (shExpMatch(host, "aus.delve.office.com"))
            || (shExpMatch(host, "account.office.net"))
            || (shExpMatch(host, "agent.office.net"))  
            || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))  
            || (shExpMatch(host, "can.delve.office.com")) 
            || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
            || (shExpMatch(host, "ccs.login.microsoftonline.com"))  
            || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
            || (shExpMatch(host, "config.edge.skype.com"))
            || (shExpMatch(host, "delve.office.com"))
            || (shExpMatch(host, "domains.live.com")) 
            || (shExpMatch(host, "eur.delve.office.com"))
            || (shExpMatch(host, "gbr.delve.office.com"))
            || (shExpMatch(host, "hip.microsoftonline-p.net"))
            || (shExpMatch(host, "home.office.com"))
            || (shExpMatch(host, "ind.delve.office.com"))
            || (shExpMatch(host, "jpn.delve.office.com"))
            || (shExpMatch(host, "kor.delve.office.com"))
            || (shExpMatch(host, "lam.delve.office.com"))
            || (shExpMatch(host, "login.microsoftonline-p.net"))				
            || (shExpMatch(host, "login.windows.net"))						
            || (shExpMatch(host, "login.microsoft.com"))
            || (shExpMatch(host, "nam.delve.office.com"))
            || (shExpMatch(host, "nexus.microsoftonline-p.net"))
            || (shExpMatch(host, "outlook.office365.com")) 
            || (shExpMatch(host, "pipe.skype.com"))	
            || (shExpMatch(host, "portal.office.com"))
            || (shExpMatch(host, "prod.registrar.skype.com"))
            || (shExpMatch(host, "prod.tpc.skype.com"))
            || (shExpMatch(host, "s-0001.s-msedge.net"))
            || (shExpMatch(host, "s-0004.s-msedge.net"))
            || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net"))
            || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net"))  
            || (shExpMatch(host, "signup.microsoft.com"))
            || (shExpMatch(host, "smtp.office365.com"))  
            || (shExpMatch(host, "suite.office.net")) 
            || (shExpMatch(host, "teams.microsoft.com"))  
            || (shExpMatch(host, "www.outlook.com"))   						
            || (shExpMatch(host, "www.office.com")))



       
    {
        return "DIRECT";
    }

        // If Azure public peering is available the following can be added to the Expressroute section above and sent direct via ER. If not these can be sent via the internet i.e delete them from the PAC file.
       
        //*.adhybridhealth.azure.com
        //*.cloudapp.net
        //*.blob.core.windows.net
        //*.hybridconfiguration.azurewebsites.net
        //*.keydelivery.mediaservices.windows.net
        //*.queue.core.windows.net
        //*.servicebus.windows.net - Port: 5671 (If 5671 is blocked, agent falls back to 443, but using 5671 is recommended.)
        //*.store.core.windows.net
        //*.streaming.mediaservices.windows.net
        //*.table.core.windows.net
        //compliance.outlook.com
        //dc.services.visualstudio.com
        //equivio.office.com
        //equivioprod*.cloudapp.net
        //hybridconfiguration.azurewebsites.net
        //liverdcxstorage.blob.core.windowsazure.com//
        //management.azure.com
        //mshrcstorageprod.blob.core.windows.net
        //office365servicehealthcommunications.cloudapp.net
        //office365zoom.cloudapp.net
        //policykeyservice.dc.ad.msft.net
        //protection.office.com
        //secure.aadcdn.microsoftonline-p.com
        //telemetry.remoteapp.windowsazure.com
        //vortex.data.microsoft.com
        //www.remoteapp.windowsazure.com
        //zoom-cs-prod*.cloudapp.net



        //Catchall for all other traffic to proxy
    else
    {
        return proxyserver;
    }
}

O terceiro exemplo demonstra o envio de todas as solicitações de rede associadas ao Office 365 para um único destino. Isso é geralmente usado para ignorar todas as inspeções de solicitações de rede do Office 365 e também oferece um formato em que todos os pontos de extremidade publicados são listados no formato PAC a ser usado para a sua personalização.

Trecho de código:

// JavaScript source code
//October 2017 Update new URLS go live 1st Nov2017 - Some URLs may have been removed from this file from previous versions as they are no longer required.
//Consolidated FQDNs required to access Office 365 - All services including optional components covered and elements covered under wildcards removed. 
//Some repeated domains have been consoliodated into unpublished wildcards in order to keep the file as small as possible.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    if ((shExpMatch(host, "*.adhybridhealth.azure.com"))
        || (shExpMatch(host, "*.api.microsoftstream.com"))  
        || (shExpMatch(host, "*.api.skype.com"))  
        || (shExpMatch(host, "*.asm.skype.com"))     
        || (shExpMatch(host, "*.assets-yammer.com"))
        || (shExpMatch(host, "*.azureedge.net"))   
        || (shExpMatch(host, "*.broadcast.skype.com"))
        || (shExpMatch(host, "*.cc.skype.com")) 
        || (shExpMatch(host, "*.cdn.skype.com")) 
        || (shExpMatch(host, "*.cloudapp.net")) 	
        || (shExpMatch(host, "*.config.skype.com")) 
        || (shExpMatch(host, "*.conv.skype.com"))
        || (shExpMatch(host, "*.crl.entrust.net"))
        || (shExpMatch(host, "*.dc.trouter.io"))
        || (shExpMatch(host, "*.digicert.com"))
        || (shExpMatch(host, "*.entrust.net")) 	        
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.giphy.com")) 
        || (shExpMatch(host, "*.globalsign.com"))
        || (shExpMatch(host, "*.helpshift.com")) 
        || (shExpMatch(host, "*.hockeyapp.net"))       							
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    	
        || (shExpMatch(host, "*.lync.com"))
        || (shExpMatch(host, "*.microsoft.com"))				
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))	
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))	
        || (shExpMatch(host, "*.msedge.net"))
        || (shExpMatch(host, "*.msg.skype.com")) 					
        || (shExpMatch(host, "*.msocdn.com"))
        || (shExpMatch(host, "*.notification.api.microsoftstream.com"))	
        || (shExpMatch(host, "*.ocsp.omniroot.com"))    			
        || (shExpMatch(host, "*.office365.com"))
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.office.com"))	
        || (shExpMatch(host, "*.office.net"))
        || (shExpMatch(host, "*.officeapps.live.com"))		 
        || (shExpMatch(host, "*.onenote.com"))				
        || (shExpMatch(host, "*.outlook.com"))	
        || (shExpMatch(host, "*.outlookgroups.ms"))  
        || (shExpMatch(host, "*.oaspapps.com"))
        || (shExpMatch(host, "*.pipe.skype.com")) 			
        || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.sfbassets.com"))  
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sharepoint.com"))	
        || (shExpMatch(host, "*.skypeforbusiness.com"))	
        || (shExpMatch(host, "*.streaming.mediaservices.windows.net"))	
        || (shExpMatch(host, "*.svc.ms")) 	
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))
        || (shExpMatch(host, "*.teams.skype.com"))
        || (shExpMatch(host, "*.users.storage.live.com"))
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))				
        || (shExpMatch(host, "*.windows.net"))	
        || (shExpMatch(host, "*.yammer.com"))	
        || (shExpMatch(host, "*.yammerusercontent.com"))         
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "aka.ms"))	
        || (shExpMatch(host, "ajax.aspnetcdn.com"))
        || (shExpMatch(host, "amp.azure.net"))	
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "c.bing.net"))
        || (shExpMatch(host, "cert.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "client.hip.live.com"))     
        || (shExpMatch(host, "config.edge.skype.com"))
        || (shExpMatch(host, "connect.facebook.net"))
        || (shExpMatch(host, "crl.identrust.com/DSTROOTCAX3CRL.crl"))	
        || (shExpMatch(host, "dc.services.visualstudio.com"))	
        || (shExpMatch(host, "eus-www.sway-cdn.com"))	
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "graph.skype.com"))
        || (shExpMatch(host, "hybridconfiguration.azurewebsites.net"))  
        || (shExpMatch(host, "isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com"))					
        || (shExpMatch(host, "management.azure.com"))
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "nps.onyx.azure.net"))   
        || (shExpMatch(host, "ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "ocsp.msocsp.com"))     
        || (shExpMatch(host, "ocsp.omniroot.com"))     
        || (shExpMatch(host, "officecdn.microsoft.com.edgesuite.net"))
        || (shExpMatch(host, "officecdn.microsoft.com.edgekey.net"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com"))
        || (shExpMatch(host, "pipe.skype.com"))	
        || (shExpMatch(host, "platform.linkedin.com"))										
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))				
        || (shExpMatch(host, "prod.registrar.skype.com")) 
        || (shExpMatch(host, "prod.tpc.skype.com")) 
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "s-0001.s-msedge.net")) 
        || (shExpMatch(host, "s-0004.s-msedge.net"))   
        || (shExpMatch(host, "s0.assets-yammer.com"))  
        || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "site-cdn.onenote.net"))
        || (shExpMatch(host, "skydrive.wns.windows.com"))
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))		
        || (shExpMatch(host, "ssw.live.com"))
        || (shExpMatch(host, "staffhub.ms))
        || (shExpMatch(host, "staffhub.uservoice.com"))    
        || (shExpMatch(host, "storage.live.com"))				
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))	
        || (shExpMatch(host, "tse1.mm.bing.net"))     
        || (shExpMatch(host, "web.microsoftstream.com"))     
        || (shExpMatch(host, "wus-www.sway-cdn.com"))						
        || (shExpMatch(host, "wus-www.sway-extensions.com"))        
        || (shExpMatch(host, "wu.client.hip.live.com"))     
        || (shExpMatch(host, "www.bing.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com")))



    {
        return proxyserver;
    }

        //Catchall for all other traffic to another proxy

    else return "PROXY 10.10.10.11:8080";
}

Aqui estão mais algumas ferramentas da comunidade. Se você criou algo que deseja compartilhar, deixe uma observação nos comentários. Nenhuma das ferramentas da comunidade mencionadas neste artigo são oficialmente compatíveis ou mantidas pela Microsoft e são fornecidas aqui para sua conveniência.

  • Aqui está a ferramenta gerada pela comunidade mais antiga para ajudar a gerenciar o processo. A ferramenta criada por um membro da comunidade do Office 365. Aqui estão as instruções e o download.

  • Prova de conceito com regras de firewall exportáveis: API do IP do Microsoft Cloud.

  • De IT Praktyk: Instruções, conversão de RSS e conversão de XML.

  • De Peter Abele: Download.

  • Use sua análise de rede para determinar quais solicitações de rede devem ignorar sua infraestrutura de proxy. Os FQDNs mais comuns usados para ignorar os proxies de cliente incluem o seguinte devido ao volume de tráfego de rede enviado e recebidos desses pontos de extremidade.

    outlook.office365.com
    outlook.office.com
    <tenant-name>.sharepoint.com
    <tenant-name>-my.sharepoint.com
    <tenant-name>-<app>.sharepoint.com
    *.Lync.com
    
  • Verifique se algum pedido de rede que está sendo enviado diretamente para seu firewall tem uma entrada correspondente na lista de permissões do firewall para permitir que a solicitação seja processada.

Integração a redes de perímetro

Você sabia que a WAN da Microsoft é um dos maiores backbones do mundo?

É verdade, essa rede enorme é o que faz com que o Office 365 e nossos outros serviços de nuvem trabalhem independentemente de onde você estiver no mundo. Nossa rede consiste em links de alta largura de banda, baixa latência e com capacidade de failover, com milhares de quilômetros de rota de fibra escura privada e conexões de vários Terabits entre os data centers e os nós de borda, para facilitar o uso de nossos serviços de nuvem.

Com uma rede assim, convém que os dispositivos da organização se conectem à nossa rede assim que possível. Com mais de 2.500 relações de emparelhamento de ISP globalmente e 70 pontos de presença, a passagem de sua rede para a nossa deve ser perfeita. Não custa nada gastar alguns minutos garantindo que a relação de emparelhamento de seu ISP seja ideal. Veja alguns exemplos de entregas de emparelhamento boas e não tão boas para nossa rede.

Você pode configurar manual ou automaticamente os dispositivos da rede para lidar com solicitações de rede de aplicativo do Office 365 de forma ideal, dependendo de seu equipamento. As alterações de configuração que você precisa fazer para lidar com o tráfego de rede do Office 365 de maneira ideal dependerão de seu ambiente. As solicitações de rede do Office 365 podem se beneficiar de configurações de rede que permitem o seguinte:

  • Prioridade sobre tráfego de rede menos crítico.

  • Roteamento para um egresso de saída para evitar a sobrecarga de um link de WAN lento, aproveitando ao mesmo tempo as vantagens da baixa latência disponível na rede da Microsoft. Aqui está uma boa discussão com base em envolvimentos de clientes.

  • Usar o DNS próximo a uma saída local para garantir que a solicitação de rede que sai da saída local chegará ao local de troca de tráfego da Microsoft mais próximo.

  • Exclusão de inspeção de pacotes profunda ou outro processamento intensivo de pacotes de rede para atender aos requisitos de latência em escala.

Dispositivos de rede modernos incluem recursos para gerenciar solicitações de rede para aplicativos confiáveis, como Office 365, diferentemente do tráfego da Internet genérico e não confiável. Com o panorama emergente de soluções de SD-WAN, essa diferenciação de tráfego e seleção de caminho também pode ser realizada com reconhecimento do estado em alteração da rede, como disponibilidade de ponto no tempo, latência ou desempenho de vários caminhos de conectividade entre o usuário e a nuvem.

Confira as orientações sobre como planejar sua configuração de rede em Planejamento de rede e migração para o Office 365, Plano de solução de problemas de desempenho do Office 365 e Lista de verificação de planejamento de implantação do Office 365.

Para implementar esse cenário:

Verifique com o provedor de serviço ou de solução de rede se ele pode usar definições de URL e IP do Office 365 de XML para facilitar o egresso local (para o usuário) de rede de baixa sobrecarga para o tráfego do Office 365, gerenciar sua prioridade em relação a outros aplicativos e ajustar o caminho de rede para conexões do Office 365 na rede da Microsoft, dependendo das condições da rede. Algumas soluções baixam e automatizam a definição de XMLs de IP e URL do Office 365 em suas pilhas.

Sempre garanta que a solução implementada tenha o grau de resiliência necessário, a redundância geográfica apropriada do caminho de rede para o tráfego do Office 365 e que acomode alterações em URLs e IPs do Office 365 quando eles são publicados.

Perguntas frequentes de administradores sobre conectividade:

Clique no link que está no final da tela para indicar se este artigo foi útil ou não e envie mais perguntas. Monitoramos os comentários e atualizamos as perguntas com os questionamentos mais frequentes.

Quando novos pontos de extremidade são comunicados, normalmente há um buffer de mais de 30 dias até que eles entrem em vigor e as solicitações de rede comecem a ir para eles. Esse buffer é para garantir que os clientes e os parceiros tenham a chace de atualizar os sistemas. As adições e as remoções de prefixo FQDN e IP são processadas no arquivo XML ao mesmo tempo que o anúncio, o que significa que um novo FQDN estará no arquivo XML 30 dias antes do uso. Como paramos de enviar solicitações de rede a pontos de extremidade que estamos removendo antes de anunciar sua remoção, quando removermos o ponto de extremidade do XML ao mesmo tempo que o anúncio, ele já não estará mais em uso.

Os pontos de extremidade do Office 365 são publicados no final de cada mês com um aviso de 30 dias. Ocasionalmente, ocorrerão alterações mais de uma vez por mês ou com períodos de aviso mais curtos. Quando um ponto de extremidade é adicionado, uma data de efetivação é listada no feed RSS. Após essa data, solicitações de rede são enviadas ao ponto de extremidade. Se você não tem experiência com RSS, veja como assinar pelo Outlook. Como alternativa, você pode solicitar que as atualizações do feed RSS sejam enviadas para seu email.

Após assinar o RSS feed, você pode analisar as informações por conta própria ou com um script. A tabela a seguir descreve o formato do RSS feed para facilitar.

Seção

Parte 1

Parte 2

Parte 3

Parte 4

Parte 5

Parte 6

Descrição

Contagem

Data após a qual você pode esperar que solicitações de rede sejam enviadas para o ponto de extremidade.

Descrição básica do recurso ou serviço que requer o ponto de extremidade.

Você pode se conectar a esse ponto de extremidade do Circuito de ExpressRoute além da internet?

Sim -você pode se conectar a esse ponto de extremidade na internet e no ExpressRoute.

Não -só pode se conectar a esse ponto de extremidade na internet.

O destino do intervalo de IP ou FQDN que está sendo adicionado ou removido.

Exemplo

1/

[Eficaz xx/xx/xxx.

Necessário: <descrição>

ExpressRoute:

<Sim/Não>.

<FQDN/IP>],

Também devemos observar que cada entrada tem um conjunto comum de delimitadores:

  • / - após a contagem

  • [ – para indicar a entrada da contagem

  • . - utilizado entre cada seção distinta da entrada

  • ], – para indicar o final de uma única entrada

  • ]. – para indicar o final de todas as entradas

O Local do locatário é determinado da melhor forma usando nosso mapa de datacenters.

Locais de emparelhamento são descritos em mais detalhes em emparelhamento com a Microsoft.

Com mais de 2.500 relações de emparelhamento de ISP globalmente e 70 pontos de presença, a passagem de sua rede para a nossa deve ser perfeita. Não custa nada gastar alguns minutos garantindo que a relação de emparelhamento de seu ISP seja ideal. Veja alguns exemplos de entregas de emparelhamento boas e não tão boas para nossa rede.

Rotas aceitas do ExpressRoute são definidas por intervalos de IP da Microsoft e as Office 365comunidades BGP específicas.

Nós regularmente adicionamos novos recursos e serviços para o pacote do Office 365, expandindo o panorama de conectividade. Se você assinou o SKU E3 ou E5, a maneira simples de pensar sobre a lista de pontos de extremidade é que você precisa de todas elas para obter a funcionalidade completa para o pacote. Se você não se inscreveu em nenhum desses SKUs, a diferença é mínima em termos de número de pontos de extremidade.

Na imagem abaixo, você pode ver um exemplo de uma parte da tabela de FQDN na seção Office Online. As linhas são organizadas por recurso e diferenças na conectividade. As duas primeiras linhas indicam que o Office Online depende dos pontos de extremidade marcados como obrigatórios no Office 365 Authentication and Identity, no portal e nas seções compartilhadas. É comum que um serviço do Office 365 recorra a esses serviços compartilhados. A terceira linha indica que os computadores cliente deverão conseguir acessar o *.officeapps.live.com para usar o Office Online e a quarta linha indica que os computadores também deverão ser capazes de acessar *.cdn.office.net para usar o Office Online.

Embora as linhas três e quatro sejam necessárias para usar o Office Online, elas já foi separadas para indicar que o destino é diferente:

  1. O *.officeapps.live.com não representa uma CDN, o que significa que as solicitações para esse namespace irão diretamente para um datacenter da Microsoft.

  2. O *.officeapps.live.com pode ser acessado em circuitos do ExpressRoute usando emparelhamento da Microsoft.

  3. Os endereços IP associados ao Office Online e *.officeapps.live.com podem ser encontrados seguindo esse link.

  4. *.cdn.office.net representa a CDN hospedada pela Akamai, ou seja, as solicitações para esse namespace serão enviadas a um datacenter do Akamai.

  5. *.cdn.office.net não está acessível em circuitos do ExpressRoute.

  6. Os endereços IP associados ao Office Online e a *.cdn.office.net não estão disponíveis.

Captura de tela da página de pontos de extremidade

Só fornecemos endereços IP para os servidores do Office 365 para os quais você deve fazer o encaminhamento diretamente pela Internet ou pelo ExpressRoute. Essa não é uma lista abrangente de todos os endereços IP para os quais você verá solicitações de rede. Você verá solicitações de rede para endereços IP exclusivos não publicados da Microsoft e de terceiros. Esses endereços IP são gerados dinamicamente ou gerenciados de maneira a impedir o aviso em tempo hábil quando eles mudam. Se o firewall não permitir o acesso com base em FQDNs para essas solicitações de rede, use um arquivo PAC ou WPAD para gerenciar as solicitações.

Há um IP associado ao Office 365 sobre o qual você deseja obter mais informações?

  1. Verifique se o endereço IP está incluído em um intervalo publicado maior usando uma Calculadora CIDR.

  2. Ver se um parceiro é responsável pelo IP com uma consulta whois. Se for de propriedade da Microsoft, pode ser um parceiro interno.

  3. Verifique o certificado. Em um navegador, conecte-se ao endereço IP usando HTTPS://<ENDEREÇO_IP>. Verifique os domínios listados no certificado para entender quais domínios estão associados ao endereço IP. Se é um endereço IP de propriedade da Microsoft e não está na lista de endereços IP do Office 365, é provável que o endereço IP esteja associado ao CDN da Microsoft, como MSOCDN.NET ou outro domínio da Microsoft sem informações de IP publicadas. Se você descobrir que o domínio do certificado é um domínio onde podemos solicitar que seja listado o endereço IP, informe-nos.

O Office 365 e outros serviços da Microsoft usam vários serviços de terceiros como Akamai e MarkMonitor para melhorar a experiência do Office 365. Para continuar a oferecer a melhor experiência possível, podemos alterar esses serviços no futuro. Fazendo isso, nós publicamos frequentemente o registro CNAME que aponta para um domínio pertencente a terceiros, o registro A ou o endereço IP. Domínios de terceiros podem hospedar conteúdo, como uma CDN, ou podem hospedar um serviço, como um serviço de gerenciamento de tráfego geográfico. Quando você vê conexões a esses terceiros, elas estão na forma de um redirecionamento ou referência, não uma solicitação inicial do cliente. Alguns clientes precisam garantir que essa forma de referência e redirecionamento tenha permissão para passar sem adicionar explicitamente a longa lista de FQDNs potenciais que os serviços de terceiros podem usar.

A lista de serviços está sujeita a alterações a qualquer momento. Alguns dos serviços em uso no momento incluem:

MarkMonitor está em uso quando você vê as solicitações que incluem *.nsatc.net. Esse serviço fornece proteção de nome de domínio e monitoramento para proteção contra comportamentos mal intencionados.

ExactTarget is in use when you see requests to *.exacttarget.com. Esse serviço fornece gerenciamento de link de email e monitoramento contra comportamentos mal-intencionados.

Akamai está em uso quando você vê as solicitações que incluem um dos seguintes FQDNs. Esse serviço oferece DNS geográfica e serviços de rede de distribuição de conteúdo.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

  • Conecte-se aos serviços de terceiros para recuperar serviços de internet básicos como pesquisas de DNS e recuperação de conteúdo de CDN. Conecte-se aos serviços de terceiros para integrações como incorporar vídeos do YouTube em seus blocos de anotações do OneNote.

  • Conecte-se aos serviços secundários hospedados e executados pela Microsoft como nós de borda que permitem sua solicitação de rede inserir uma rede global da Microsoft no local da internet mais próximo ao seu computador. Como é a terceira maior rede do planeta, isso melhora sua experiência de conectividade. Você também pode se conectar aos serviços do Microsoft Azure, como Serviços de Mídia do Azure, que são usados por uma série de serviços do Office 365.

  • Conecte-se aos serviços primários do Office 365 tal como o servidor de caixa de correio do Exchange Online ou o servidor do Skype for Business Online onde ficam seus dados exclusivos e proprietários. Você pode se conectar aos serviços primários do Office 365 pelo FQDN ou endereço IP e usar circuitos de internet ou do ExpressRoute. Somente é possível se conectar aos serviços de terceiros e secundários usando FQDNs em um circuito de internet.

O diagrama a seguir mostra as diferenças entre essas áreas de serviço. Neste diagrama, a rede local do cliente no canto inferior esquerdo tem vários dispositivos de rede para ajudar no gerenciamento de conectividade de rede. Configurações como essa são comuns para clientes corporativos. Se a sua rede tem apenas um firewall entre computadores cliente e a internet, ele também é suportado, então garanta que seu firewall seja compatível com FQDNs e caracteres curinga nas regras de lista de permissões.

Mostra os três tipos diferentes de pontos de extremidade de rede ao usar o Office 365

O Office 365 é um conjunto de serviços criado para funcionar pela internet, as promessas confiabilidade e disponibilidade se baseiam em muitos serviços de internet padrão que estão disponíveis. Por exemplo, serviços de internet padrão como DNS, CRL e CDNs devem estar acessíveis para usar o Office 365 exatamente como eles devem estar acessíveis para usar os serviços de internet mais modernos.

Além desses serviços básicos de internet, há serviços de terceiros que são usados somente para integrar funcionalidade. Por exemplo, usar Giphy.com dentro de Equipes da Microsoft permite que os clientes perfeitamente incluam Gifs dentro de Equipes. Da mesma forma, YouTube e Flickr são serviços de terceiros que são usados para integrar perfeitamente vídeo e imagens em clientes do Office a partir da internet. Enquanto eles são necessários para integração, estão marcados como opcionais no artigo de pontos de extremidade do Office 365, o que significa que a funcionalidade principal do serviço continuará funcionando se o ponto de extremidade não for acessível.

Se você está tentando usar o Office 365 e está encontrando serviços de terceiros não acessíveis, convém garantir que todos os FQDNs marcados como obrigatórios ou opcionais neste artigo sejam permitidos por meio de proxy e firewall.

Serviços secundários são serviços da Microsoft que não estão no controle do Office 365. São serviços como a rede de borda, Serviços de Mídia do Azure e redes de distribuição de conteúdo do Azure. Todos esses são necessários para usar o Office 365 e devem estar acessíveis.

Se você está tentando usar o Office 365 e está encontrando serviços de terceiros não acessíveis, convém garantir que todos os FQDNs marcados como obrigatórios ou opcionais neste artigo sejam permitidos por meio de proxy e firewall.

A restrição de acesso aos nossos serviços do consumidor deve ser feita por sua própria conta. A única maneira confiável de bloquear os serviços do consumidor é restringir o acesso ao FQDN login.live.com. Esse FQDN é usado por um amplo conjunto de serviços, incluindo serviços de não consumidor, como MSDN, TechNet, entre outros. A restrição de acesso a esse FQDN pode resultar também na necessidade de incluir exceções à regra para solicitações de rede associadas a esses serviços.

Tenha em mente que apenas bloquear o acesso aos serviços do consumidor da Microsoft não impede a capacidade de alguém na sua rede filtrar informações usando um locatário do Office 365 ou outro serviço.

Consulte Também

Intervalos de IP do datacenter do Microsoft Azure

Espaço de IP público da Microsoft

Requisitos de infraestrutura de rede do Microsoft Intune

Power BI e ExpressRoute

Intervalos de URLs e de endereços IP do Office 365

Gerenciar o ExpressRoute para a conectividade do Office 365

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×