Gestionarea conectivității ExpressRoute pentru Office 365

ExpressRoute pentru Office 365 oferă o modalitate alternativă de rutare, pentru a accesa mai multe servicii Office 365 fără a fi nevoie ca traficul să iasă pe internet. Deși conexiunea de internet la Office 365 este în continuare necesară, rutele specifice prezentate de Microsoft prin BGP în rețeaua dvs. preferă circuitul direct ExpressRoute, dacă nu există alte configurații în rețea. Cele trei zone comune pe care se recomandă să le configurați pentru a gestiona această rutare sunt filtrarea prefixelor, securitatea și conformitatea.

Notă : Microsoft a modificat modul în care se face revizuirea domeniului de rutare Microsoft Peering pentru Azure ExpressRoute. Începând cu data de 31 iulie 2017, toți clienții Azure ExpressRoute pot activa Microsoft Peering direct din consola de administrare Azure sau prin PowerShell. După ce activați Microsoft Peering, orice client poate crea filtre de rutare pentru a primi reclame de rută BGP pentru aplicații Dynamics 365 Customer Engagement (cunoscut anterior drept CRM Online). Clienții care au nevoie de Azure ExpressRoute pentru Office 365 trebuie să obțină revizuirea de la Microsoft înainte să poată crea filtre de rutare pentru Office 365. Contactați echipa Contului Microsoft pentru a afla cum să solicitați o revizuire pentru activarea Office 365 ExpressRoute. Abonamentele neautorizate care încearcă să creeze filtre de rutare pentru Office 365 vor primi un mesaj de eroare

Filtrarea prefixelor

Microsoft recomandă clienților să accepte toate rutele BGP așa cum sunt prezentate de Microsoft. Rutele furnizate sunt supuse unui proces riguros de revizuire și validare care elimină necesitatea unor controale suplimentare. ExpressRoute oferă în mod nativ controalele recomandate, cum ar fi proprietatea prefixului IP, integritatea și scara, fără filtrarea rutelor de intrare de partea clientului.

Dacă aveți nevoie de validarea suplimentară a proprietății rutelor în asocierea publică ExpressRoute, puteți să comparați rutele prezentate cu lista tuturor prefixelor IP IPv4 și IPv6 care reprezintă intervale IP publice Microsoft. Aceste intervale acoperă tot spațiul de adrese Microsoft și se modifică rar, oferind un set fiabil de intervale de filtrare care, de asemenea, asigură protecție suplimentară clienților care se tem de pătrunderea rutelor care nu aparțin Microsoft în mediul lor. În cazul în care apare o modificare, aceasta se va efectua pe data de 1 a lunii și numărul de versiune din secțiunea Detalii a paginii se va modifica de fiecare dată când fișierul este actualizat.

Există câteva motive pentru a evita utilizarea Adreselor URL și intervalelor de adrese IP Office 365 pentru generarea listelor de filtrare a prefixelor. Între care următoarele:

  • Prefixele IP Office 365 suferă frecvent o mulțime de modificări.

  • Adresele URL și intervalele de adrese IP Office 365 sunt proiectate pentru gestionarea listelor de permisiuni pentru firewall și a infrastructurii proxy, nu pentru rutare.

  • Adresele URL și intervalele de adrese IP Office 365 nu acoperă alte servicii Microsoft care s-ar putea încadra în domeniul de aplicare al conexiunilor dvs. ExpressRoute.

Opțiune

Complexitate

Modificare control

Acceptarea tuturor rutelor Microsoft

Minim: Clientul se bazează pe controale Microsoft pentru a asigura deținerea corectă a tuturor rutelor.

Fără

Filtrarea super-rețelelor deținute de Microsoft

Mediu: Clientul implementează liste de filtrare a prefixelor rezumate pentru a permite numai rutele deținute de Microsoft.

Clienții trebuie să se asigure că actualizările rare se reflectă în filtrele de rute.

Filtrare intervale IP Office 365

Avertisment : Nerecomandată

Maxim: Clientul filtrează rute pe baza prefixelor IP Office 365 definite.

Clienții trebuie să implementeze un proces puternic de gestionare a modificărilor pentru actualizările lunare.

Precauție : Această soluție necesită modificări continue semnificative. Modificările care nu sunt implementate la timp vor duce probabil la întreruperea serviciului.

Conectarea la Office 365 cu ajutorul Azure ExpressRoute se bazează pe reclame BGP ale unor subrețele IP specifice care reprezintă rețelele unde sunt implementate punctele finale Office 365. Având în vedere natura globală a Office 365 și numărul de servicii care constituie Office 365, deseori clienții trebuie să adesea gestioneze reclamele pe care le acceptă pe rețeaua lor. Dacă vă preocupă numărul de prefixe prezentate în mediul dvs., caracteristica Comunitate BGP vă permite să filtrați reclamele pentru un anumit set de servicii Office 365. Această caracteristică este acum în ediție preliminară.

Indiferent cum gestionați reclamele rutate prin BGP provenite de la Microsoft, nu veți avea nicio expunere specială la serviciile Office 365 comparativ cu conectarea la Office 365 exclusiv printr-un circuit de internet. Microsoft menține același nivel de securitate, conformitate și performanță indiferent de tipul de circuit utilizat de un client pentru a se conecta la Office 365.

Securitate

Microsoft recomandă să mențineți propriile controale de perimetru pentru rețea și securitate pentru conexiunile la și de la asocierea publică ExpressRoute și Microsoft, care include conexiuni la și de la servicii Office 365. Trebuie implementate controale de securitate pentru solicitările de rețea care pleacă din rețeaua dvs. spre rețeaua Microsoft, precum și cele care intră din rețeaua Microsoft în rețeaua dvs.

Ieșirea dinspre client spre Microsoft

Atunci când computerele se conectează la Office 365, ele se conectează la același set de puncte finale, indiferent dacă se stabilește o conexiune prin internet sau printr-un circuit ExpressRoute. Oricare ar fi circuitul utilizat, Microsoft recomandă să tratați serviciile Office 365 ca fiind mai de încredere decât destinațiile de internet generice. Controalele de securitate de ieșire trebuie să se bazeze pe porturi și protocoale, astfel încât să reducă expunerea și să minimizeze întreținerea permanentă. Informațiile necesare despre porturi sunt disponibile în articolul de referință Punctele finale Office 365.

Pentru controale suplimentare, puteți utiliza filtrarea la nivel de FQDN în cadrul infrastructurii proxy pentru a restricționa sau a inspecta unele sau toate solicitările de rețea destinate pentru internet sau Office 365. Pentru menținerea listei de FQDN-uri pe măsură ce sunt lansate caracteristici și ofertele Office 365 evoluează sunt necesare o gestionare și o urmărire mai puternice ale modificărilor Punctelor finale Office 365 publicate.

Avertisment : Microsoft recomandă să nu vă bazați exclusiv pe prefixele IP pentru a gestiona securitatea de ieșire pentru Office 365

Opțiune

Complexitate

Modificare control

Fără restricții

Minim: Clientul permite accesul de ieșire nerestricționat la Microsoft.

Fără

Restricții port

Minim: Clientul restricționează accesul de ieșire la Microsoft prin porturile preconizate.

Rar.

Restricții FQDN

Maxim: Clientul restricționează accesul de ieșire la Office 365 pe baza FQDN-urilor publicate.

Modificări lunare.

Intrarea de la Microsoft la client

Există câteva scenarii opționale care necesită Microsoft pentru a iniția conexiunile la rețea.

Microsoft recomandă să acceptați aceste conexiuni prin circuitul dvs. de internet în locul circuitului ExpressRoute pentru a reduce complexitatea. Dacă cerințele dvs. de conformitate sau performanță impun ca aceste conexiuni de intrare să fie acceptate printr-un circuit ExpressRoute, se recomandă utilizarea unui firewall sau a unui proxy invers pentru a restrânge conexiunile acceptate. Puteți utiliza Punctele finale Office 365 pentru a identifica FQDN-urile și prefixele IP potrivite.

Conformitate

Nu ne bazăm pe calea de rutare pe care o utilizați dvs. pentru niciunul dintre controalele noastre de conformitate. Indiferent dacă vă conectați la serviciile Office 365 printr-un circuit internet sau ExpressRoute, controalele noastre de conformitate nu se vor modifica. Trebuie să analizați diferitele niveluri de certificare a conformității și securității pentru Office 365 pentru a identifica cea mai bună opțiune potrivită nevoilor organizației dvs.

Iată un link scurt pe care îl puteți utiliza pentru a reveni: https://aka.ms/manageexpressroute365

Subiecte asociate

Rețele de distribuire a conținutului
Adrese URL și intervale de adrese IP Office 365
Gestionarea punctelor finale Office 365
Instruire Azure ExpressRoute pentru Office 365

Extindeți-vă competențele
Explorați instruirea
Fiți primul care obține noile caracteristici
Alăturați-vă utilizatorilor Office Insider

Au fost utile aceste informații?

Vă mulțumim pentru feedback!

Vă mulțumim pentru feedback! Se pare că ar fi util să luați legătura cu unul dintre agenții noștri de asistență Office.

×