Управление конечными точками Office 365

Сетевое подключение к Office 365

16.11.2017 Через подключения к Office 365 проходит большое количество доверенных сетевых запросов, которые по возможности должны выполняться через ближайший к пользователю выход с небольшой задержкой. Некоторые подключения к Office 365 можно оптимизировать.

  1. Убедитесь, что в списках разрешений брандмауэра есть подключение к конечным точкам Office 365.

  2. Для подключения к интернет-ресурсам, содержащим знаки подстановки, и неопубликованным ресурсам используйте инфраструктуру прокси-серверов.

  3. Следите за тем, чтобы конфигурация сети периметра была оптимальной.

Подключение к Office 365 через брандмауэры и прокси-серверы.

Обновление исходящих списков разрешений брандмауэра

Для оптимизации сети можно отправлять все доверенные сетевые запросы Office 365 напрямую через брандмауэр, не выполняя дополнительную проверку или обработку на уровне пакетов. Это уменьшит отрицательное влияние на производительность, вызванное задержками, и снизит требования к емкости сети периметра. Для выбора доверенных сетевых запросов проще всего использовать готовые PAC-файлы, которые можно найти на вкладке Прокси-серверы выше.

Если брандмауэр блокирует исходящий трафик, следует убедиться, что все IP-адреса и полные доменные имена, указанные как обязательные в этом XML-файле, присутствуют в списке разрешений. Определите все сервисы, требующие использования сторонних служб. Мы не предоставляем IP-адреса для сторонних служб, таких как поставщики сертификатов, сети доставки содержимого, поставщики DNS и т. д. Чтобы использовать все функции Office 365, необходимо обеспечить связь со всеми назначениями, запрашиваемыми из Office 365, независимо от количества информации, опубликованной о таких местах назначения.

Для многих назначений не опубликованы IP-адреса или указаны неполные доменные имена с подстановочными знаками. Для использования этих функций сетевые запросы должны сопоставляться с запрашиваемыми IP-адресами и отправляться через Интернет.

Автоматизируйте процесс с помощью брандмауэра, анализирующего XML-файл от вашего имени и автоматически обновляющего правила, на основе служб или функций, которые вы планируете обрабатывать непосредственно через брандмауэр. Также можно использовать средство Azure Range, разработанное сообществом и анализирующее XML-файлы с возможностью экспорта результатов в формате списка маршрутов Cisco XE, списка управления доступом (ACL), обычного текста или CSV-файла.

Развернутое описание целевых сетевых назначений можно найти на справочном сайте, а также в журнале изменений в формате RSS с возможностью подписки на изменения.

Настройка исходящих путей с помощью PAC-файлов

PAC- и WPAD-файлы используются для управления сетевыми запросами, которые связаны с Office 365, но не имеют назначенного IP-адреса. Обычно сетевые запросы, которые отправляются через прокси-сервер или устройство в сети периметра, увеличивают задержку. Хотя проверка подлинности прокси связана с наибольшими затратами, другие службы, связанные, например, с поиском сведений о репутации и попытками проверки пакетов, могут привести к неудобствам в работе пользователей. Кроме того, таким устройствам требуется достаточная пропускная способность для обработки всех сетевых запросов. Мы рекомендуем обходить прокси-сервер и инфраструктуру проверки для прямых сетевых запросов к Office 365.

Используйте один из наших PAC-файлов в качестве отправной точки для определения того, какой сетевой трафик будет направляться на прокси-сервер, а какой — через брандмауэр. Если вы еще не сталкивались с PAC- и WPAD-файлами, ознакомьтесь с публикацией о развертывании PAC-файлов, подготовленной консультантом по Office 365. Используйте эти сведения как отправную точку и учитывайте особенности своей среды.

PAC-файлы (последнее обновление: 16.11.2017).

В первом примере продемонстрирован рекомендуемый подход к управлению конечными точками только через Интернет. Для назначений Office 365 с опубликованным IP-адресом выполняется обход прокси-сервера, а остальные сетевые запросы отправляются через прокси-сервер.

Фрагмент программного кода:

// JavaScript source code

November2017 - Updates go live 1st Dec2017
//This PAC file contains all FQDNs needed for all services and splits the traffic between those which Microsoft can provide IPs for (so can be sent through a managed firewall with conditional access) and those which IPs cannot be provided for, so need to go to an unrestricted proxy or egress. 
//Due to the use of wildcards, some extra logic is provided to send traffic to the proxy before a 'direct' wildcard is hit.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    var proxyserver2 = "PROXY 10.10.10.11:8080"
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    //Catch explicit FQDNs which need the proxy but are covered under wildcarded FQDNs which have IPs. This has to be done first before the wildcard is hit

    if ((shExpMatch(host, "browser.pipe.aria.microsoft.com")) 
        || (shExpMatch(host, "compliance.outlook.com"))       
        || (shExpMatch(host, "mobile.pipe.aria.microsoft.com"))
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "r1.res.office365.com")) 
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "r3.res.outlook.com"))
        || (shExpMatch(host, "xsi.outlook.com")))

    {
        return proxyserver;
    }
        //Send FQDNs which Microsoft provide IPs for direct, so they can be sent via a firewall

    else if ((isPlainHostName(host))
    || (shExpMatch(host, "*.asm.skype.com"))
    || (shExpMatch(host, "*.broadcast.skype.com"))
    || (shExpMatch(host, "*.cc.skype.com"))
    || (shExpMatch(host, "*.config.skype.com"))
    || (shExpMatch(host, "*.conv.skype.com"))
    || (shExpMatch(host, "*.dc.trouter.io"))
    || (shExpMatch(host, "*.infra.lync.com"))
    || (shExpMatch(host, "*.lync.com"))
    || (shExpMatch(host, "*.msg.skype.com"))
    || (shExpMatch(host, "*.office365.com"))
    || (shExpMatch(host, "*.outlook.com"))
    || (shExpMatch(host, "*.outlook.office.com"))
    || (shExpMatch(host, "*.pipe.aria.microsoft.com"))
    || (shExpMatch(host, "*.pipe.skype.com"))
    || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
    || (shExpMatch(host, "*.protection.office.com"))
    || (shExpMatch(host, "*.sharepoint.com"))
    || (shExpMatch(host, "*.skypeforbusiness.com"))
    || (shExpMatch(host, "*.svc.ms"))
    || (shExpMatch(host, "*.teams.microsoft.com"))
    || (shExpMatch(host, "*.teams.skype.com"))
    || (shExpMatch(host, "*.yammer.com"))
    || (shExpMatch(host, "*.yammerusercontent.com"))
    || (shExpMatch(host, "*broadcast.officeapps.live.com"))
    || (shExpMatch(host, "*excel.officeapps.live.com"))
    || (shExpMatch(host, "*onenote.officeapps.live.com"))
    || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
    || (shExpMatch(host, "*view.officeapps.live.com"))
    || (shExpMatch(host, "*visio.officeapps.live.com"))
    || (shExpMatch(host, "*word-edit.officeapps.live.com"))
    || (shExpMatch(host, "*word-view.officeapps.live.com"))    
    || (shExpMatch(host, "account.office.net"))
    || (shExpMatch(host, "adminwebservice.microsoftonline.com"))
    || (shExpMatch(host, "agent.office.net"))
    || (shExpMatch(host, "apc.delve.office.com"))
    || (shExpMatch(host, "api.login.microsoftonline.com"))
    || (shExpMatch(host, "aus.delve.office.com"))
    || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))    
    || (shExpMatch(host, "can.delve.office.com"))
    || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
    || (shExpMatch(host, "ccs.login.microsoftonline.com"))
    || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
    || (shExpMatch(host, "clientlog.portal.office.com"))
    || (shExpMatch(host, "config.edge.skype.com"))
    || (shExpMatch(host, "controls.office.com"))
    || (shExpMatch(host, "cus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "delve.office.com"))
    || (shExpMatch(host, "device.login.microsoftonline.com"))    
    || (shExpMatch(host, "ea-000.tasks.osi.office.net"))
    || (shExpMatch(host, "eus-zzz.tasks.osi.office.net"))
    || (shExpMatch(host, "gbr.delve.office.com"))
    || (shExpMatch(host, "hip.microsoftonline-p.net"))
    || (shExpMatch(host, "hipservice.microsoftonline.com"))
    || (shExpMatch(host, "home.office.com"))
    || (shExpMatch(host, "ind.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "kor.delve.office.com"))
    || (shExpMatch(host, "lam.delve.office.com"))
    || (shExpMatch(host, "login.microsoft.com"))
    || (shExpMatch(host, "login.microsoftonline.com"))
    || (shExpMatch(host, "login.microsoftonline-p.com"))
    || (shExpMatch(host, "login.windows.net"))
    || (shExpMatch(host, "logincert.microsoftonline.com"))
    || (shExpMatch(host, "loginex.microsoftonline.com"))
    || (shExpMatch(host, "login-us.microsoftonline.com"))     
    || (shExpMatch(host, "nam.delve.office.com"))
    || (shExpMatch(host, "neu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "nexus.microsoftonline-p.com"))
    || (shExpMatch(host, "nexus.officeapps.live.com"))
    || (shExpMatch(host, "nexusrules.officeapps.live.com"))
    || (shExpMatch(host, "office.live.com")) 
    || (shExpMatch(host, "pipe.skype.com"))
    || (shExpMatch(host, "portal.microsoftonline.com"))
    || (shExpMatch(host, "portal.office.com"))
    || (shExpMatch(host, "prod.registrar.skype.com"))
    || (shExpMatch(host, "prod.tpc.skype.com"))
    || (shExpMatch(host, "provisioningapi.microsoftonline.com"))
    || (shExpMatch(host, "s-0001.s-msedge.net"))
    || (shExpMatch(host, "s-0004.s-msedge.net"))
    || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net"))   
    || (shExpMatch(host, "sea-000.tasks.osi.office.net"))    
    || (shExpMatch(host, "signup.microsoft.com"))
    || (shExpMatch(host, "stamp2.login.microsoftonline.com"))
    || (shExpMatch(host, "suite.office.net"))    
    || (shExpMatch(host, "tasks.office.com"))
    || (shExpMatch(host, "teams.microsoft.com"))
    || (shExpMatch(host, "testconnectivity.microsoft.com"))
    || (shExpMatch(host, "weu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "wus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "www.office.com"))
    || (shExpMatch(host, "www.sway.com")))
      
    {
        return "DIRECT";
    }
    else

        // Send all unknown IP traffic to Proxy for unrestricted access. This section is not necessary if you have a catchall for all other traffic to go to an unfiltered proxy. 
        //However the fqdns required, but for which we dont have IPs for, are listed here incase you need an explicit list.

    if ((shExpMatch(host, "*.aadrm.com")) 
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "*.adhybridhealth.azure.com"))    
        || (shExpMatch(host, "*.api.microsoftstream.com"))   
        || (shExpMatch(host, "*.api.skype.com"))
        || (shExpMatch(host, "*.assets-yammer.com"))   
        || (shExpMatch(host, "*.azurerms.com")) 
        || (shExpMatch(host, "*.azureedge.net"))            
        || (shExpMatch(host, "*.cloudapp.net")) 
        || (shExpMatch(host, "*.entrust.net")) 
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.helpshift.com"))   
        || (shExpMatch(host, "*.hockeyapp.net"))    
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    
        || (shExpMatch(host, "*.microsoft.com"))
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))
        || (shExpMatch(host, "*.msedge.net"))      
        || (shExpMatch(host, "*.msocdn.com"))   
        || (shExpMatch(host, "*.office.com"))   
        || (shExpMatch(host, "*.office.net")) 
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.secure.skypeassets.com"))  
        || (shExpMatch(host, "*.sfbassets.com"))
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))     
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))
        || (shExpMatch(host, "*.windows.net"))
        || (shExpMatch(host, "ad.atdmt.com")) 
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "ajax.aspnetcdn.com")) 
        || (shExpMatch(host, "aka.ms"))
        || (shExpMatch(host, "amp.azure.net")) 
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "broadcast.skype.com")) 
        || (shExpMatch(host, "cacerts.digicert.com"))        
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "compliance.outlook.com"))   
        || (shExpMatch(host, "connect.facebook.net"))        
        || (shExpMatch(host, "crl.globalsign.com"))
        || (shExpMatch(host, "crl3.digicert.com"))  
        || (shExpMatch(host, "crl4.digicert.com")) 
        || (shExpMatch(host, "dc.services.visualstudio.com")) 
        || (shExpMatch(host, "domains.live.com"))
        || (shExpMatch(host, "ecn.dev.virtualearth.net "))   
        || (shExpMatch(host, "eus-www.sway-cdn.com"))
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "eur.delve.office.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "firstpartyapps.oaspapps.com")) 
        || (shExpMatch(host, "graph.skype.com"))   
        || (shExpMatch(host, "groupsapi2-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi3-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi4-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi-prod.outlookgroups.ms")) 
        || (shExpMatch(host, "latest-swx.cdn.skype.com")) 
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com")) 
        || (shExpMatch(host, "management.azure.com"))        
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "ocsp.globalsign.com"))
        || (shExpMatch(host, "ocsp.msocsp.com"))       
        || (shExpMatch(host, "ocsp2.globalsign.com"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com")) 
        || (shExpMatch(host, "pipe.skype.com")) 
        || (shExpMatch(host, "platform.linkedin.com"))
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))
        || (shExpMatch(host, "prod.firstpartyapps.oaspapps.com.akadns.net")) 
        || (shExpMatch(host, "r1.res.office365.com"))
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "s.ytimg.com")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "secure.aadcdn.microsoftonline-p.com"))
        || (shExpMatch(host, "secure.globalsign.com")) 
        || (shExpMatch(host, "site-cdn.onenote.net")) 
        || (shExpMatch(host, "skydrive.wns.windows.com")) 
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))   
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))  
        || (shExpMatch(host, "staffhub.ms"))
        || (shExpMatch(host, "staffhub.uservoice.com")) 
        || (shExpMatch(host, "sway.com"))              
        || (shExpMatch(host, "swx.cdn.skype.com"))  
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))         
        || (shExpMatch(host, "telemetryservice.firstpartyapps.oaspapps.com"))    
        || (shExpMatch(host, "web.microsoftstream.com"))         
        || (shExpMatch(host, "wus-firstpartyapps.oaspapps.com"))  
        || (shExpMatch(host, "wus-www.sway-cdn.com"))
        || (shExpMatch(host, "wus-www.sway-extensions.com"))   
        || (shExpMatch(host, "xsi.outlook.com"))
        || (shExpMatch(url, "http://apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(url, "http://cert.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://crl.identrust.com/DSTROOTCAX3CRL.crl"))
        || (shExpMatch(url, "http://isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(url, "http://ocsp.digicert.com"))
        || (shExpMatch(url, "http://ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://ocsp.msocsp.com"))
        || (shExpMatch(url, "http://ocspx.digicert.com"))   
        || (shExpMatch(url, "https://assets.onestore.ms/cdnfiles/external/"))   
        || (shExpMatch(url, "https://cdn.optimizely.com/js/"))  
        || (shExpMatch(url, "https://nps.onyx.azure.net"))
        || (shExpMatch(url, "https://web.localytics.com/v3/localytics.js"))  
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertGlobalRootCA.crt"))
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertHighAssuranceEVRootCA.crt"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com"))
        || (shExpMatch(host, "www.youtube.com")))
        

    {
        return proxyserver;
    }

    //Catchall for all other traffic to another proxy 

else return proxyserver;
}

Во втором примере продемонстрирован рекомендуемый подход к управлению подключениями по каналам Интернета и ExpressRoute. Отправка сетевых запросов к целевым назначениям, объявленным в ExpressRoute, через канал ExpressRoute, а к целевым назначениям, объявленным только в Интернете, — через прокси-сервер.

Фрагмент программного кода:

// JavaScript source code
//November2017 Update
// Consolidated FQDNs of URLS which are reachable via Microsoft peering over ExpressRoute. All other traffic sent to a proxy in this example. 
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your traffic flow needs and the Office 365 URL & IP page. 
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;
    //SUB-FQDNs of ExpressRoutable wildcards which need to be explicitly sent to the proxy at the top of the PAC because they arent ER routable
    if ((shExpMatch(host, "*.click.email.microsoftonline.com"))
        || (shExpMatch(host, "*.portal.microsoftonline.com")))					
    {
        return proxyserver;
    }
        //EXPRESS ROUTE DIRECT
    else if ((isPlainHostName(host))
            || (shExpMatch(host, "*.asm.skype.com"))
            || (shExpMatch(host, "*broadcast.officeapps.live.com"))
            || (shExpMatch(host, "*.cc.skype.com"))
            || (shExpMatch(host, "*.config.skype.com"))    
            || (shExpMatch(host, "*.conv.skype.com"))
            || (shExpMatch(host, "*.dc.trouter.io"))
            || (shExpMatch(host, "*excel.officeapps.live.com"))
            || (shExpMatch(host, "*.lync.com"))	
            || (shExpMatch(host, "*.microsoftonline.com"))
            || (shExpMatch(host, "*.msg.skype.com"))
            || (shExpMatch(host, "*onenote.officeapps.live.com"))
            || (shExpMatch(host, "*.outlook.office.com"))
            || (shExpMatch(host, "*.pipe.skype.com")) 
            || (shExpMatch(host, "*.pipe.aria.microsoft.com")) 
            || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
            || (shExpMatch(host, "*.protection.office.com"))
            || (shExpMatch(host, "*.protection.outlook.com"))						
            || (shExpMatch(host, "*.sharepoint.com")) 
            || (shExpMatch(host, "*.skypeforbusiness.com")) 
            || (shExpMatch(host, "*.svc.ms"))   
            || (shExpMatch(host, "*.teams.microsoft.com"))  
            || (shExpMatch(host, "*.teams.skype.com"))  
            || (shExpMatch(host, "*view.officeapps.live.com"))                                 
            || (shExpMatch(host, "*visio.officeapps.live.com"))
            || (shExpMatch(host, "*word-view.officeapps.live.com"))
            || (shExpMatch(host, "*word-edit.officeapps.live.com"))	
            || (shExpMatch(host, "autodiscover-*.outlook.com"))				
            || (shExpMatch(host, "apc.delve.office.com"))
            || (shExpMatch(host, "aus.delve.office.com"))
            || (shExpMatch(host, "account.office.net"))
            || (shExpMatch(host, "agent.office.net"))  
            || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))  
            || (shExpMatch(host, "can.delve.office.com")) 
            || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
            || (shExpMatch(host, "ccs.login.microsoftonline.com"))  
            || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
            || (shExpMatch(host, "config.edge.skype.com"))
            || (shExpMatch(host, "delve.office.com"))
            || (shExpMatch(host, "domains.live.com")) 
            || (shExpMatch(host, "eur.delve.office.com"))
            || (shExpMatch(host, "gbr.delve.office.com"))
            || (shExpMatch(host, "hip.microsoftonline-p.net"))
            || (shExpMatch(host, "home.office.com"))
            || (shExpMatch(host, "ind.delve.office.com"))
            || (shExpMatch(host, "jpn.delve.office.com"))
            || (shExpMatch(host, "kor.delve.office.com"))
            || (shExpMatch(host, "lam.delve.office.com"))
            || (shExpMatch(host, "login.microsoftonline-p.net"))				
            || (shExpMatch(host, "login.windows.net"))						
            || (shExpMatch(host, "login.microsoft.com"))
            || (shExpMatch(host, "nam.delve.office.com"))
            || (shExpMatch(host, "nexus.microsoftonline-p.net"))
            || (shExpMatch(host, "office.live.com")) 
            || (shExpMatch(host, "outlook.office365.com")) 
            || (shExpMatch(host, "pipe.skype.com"))	
            || (shExpMatch(host, "portal.office.com"))
            || (shExpMatch(host, "prod.registrar.skype.com"))
            || (shExpMatch(host, "prod.tpc.skype.com"))
            || (shExpMatch(host, "s-0001.s-msedge.net"))
            || (shExpMatch(host, "s-0004.s-msedge.net"))
            || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net"))
            || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net"))  
            || (shExpMatch(host, "signup.microsoft.com"))
            || (shExpMatch(host, "smtp.office365.com"))  
            || (shExpMatch(host, "suite.office.net")) 
            || (shExpMatch(host, "teams.microsoft.com"))  
            || (shExpMatch(host, "www.outlook.com"))   						
            || (shExpMatch(host, "www.office.com")))



       
    {
        return "DIRECT";
    }

        // If Azure public peering is available the following can be added to the Expressroute section above and sent direct via ER. If not these can be sent via the internet i.e delete them from the PAC file.
       
        //*.adhybridhealth.azure.com
        //*.cloudapp.net
        //*.blob.core.windows.net
        //*.hybridconfiguration.azurewebsites.net
        //*.keydelivery.mediaservices.windows.net
        //*.queue.core.windows.net
        //*.servicebus.windows.net - Port: 5671 (If 5671 is blocked, agent falls back to 443, but using 5671 is recommended.)
        //*.store.core.windows.net
        //*.streaming.mediaservices.windows.net
        //*.table.core.windows.net
        //compliance.outlook.com
        //dc.services.visualstudio.com
        //equivio.office.com
        //equivioprod*.cloudapp.net
        //hybridconfiguration.azurewebsites.net
        //liverdcxstorage.blob.core.windowsazure.com//
        //management.azure.com
        //mshrcstorageprod.blob.core.windows.net
        //office365servicehealthcommunications.cloudapp.net
        //office365zoom.cloudapp.net
        //policykeyservice.dc.ad.msft.net
        //protection.office.com
        //secure.aadcdn.microsoftonline-p.com
        //telemetry.remoteapp.windowsazure.com
        //vortex.data.microsoft.com
        //www.remoteapp.windowsazure.com
        //zoom-cs-prod*.cloudapp.net



        //Catchall for all other traffic to proxy
    else
    {
        return proxyserver;
    }
}

В третьем примере продемонстрирована отправка всех сетевых запросов, связанных с Office 365, через одно целевое назначение. Такой подход часто используется для обхода всех проверок сетевых запросов Office 365, а все опубликованные конечные точки присутствуют в списке в формате PAC, который удобно использовать для настройки.

Фрагмент программного кода:

// JavaScript source code
//November 2017 Update new URLS go live 1st Dec2017 - Some URLs may have been removed from this file from previous versions as they are no longer required.
//Consolidated FQDNs required to access Office 365 - All services including optional components covered and elements covered under wildcards removed. 
//Some repeated domains have been consoliodated into unpublished wildcards in order to keep the file as small as possible.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    if ((shExpMatch(host, "*.adhybridhealth.azure.com"))
        || (shExpMatch(host, "*.api.microsoftstream.com"))  
        || (shExpMatch(host, "*.api.skype.com"))  
        || (shExpMatch(host, "*.asm.skype.com"))     
        || (shExpMatch(host, "*.assets-yammer.com"))
        || (shExpMatch(host, "*.azureedge.net"))   
        || (shExpMatch(host, "*.broadcast.skype.com"))
        || (shExpMatch(host, "*.cc.skype.com")) 
        || (shExpMatch(host, "*.cdn.skype.com")) 
        || (shExpMatch(host, "*.cloudapp.net")) 	
        || (shExpMatch(host, "*.config.skype.com")) 
        || (shExpMatch(host, "*.conv.skype.com"))
        || (shExpMatch(host, "*.crl.entrust.net"))
        || (shExpMatch(host, "*.dc.trouter.io"))
        || (shExpMatch(host, "*.digicert.com"))
        || (shExpMatch(host, "*.entrust.net")) 	        
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.giphy.com")) 
        || (shExpMatch(host, "*.globalsign.com"))
        || (shExpMatch(host, "*.helpshift.com")) 
        || (shExpMatch(host, "*.hockeyapp.net"))       							
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    	
        || (shExpMatch(host, "*.lync.com"))
        || (shExpMatch(host, "*.microsoft.com"))				
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))	
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))	
        || (shExpMatch(host, "*.msedge.net"))
        || (shExpMatch(host, "*.msg.skype.com")) 					
        || (shExpMatch(host, "*.msocdn.com"))
        || (shExpMatch(host, "*.notification.api.microsoftstream.com"))	
        || (shExpMatch(host, "*.ocsp.omniroot.com"))    			
        || (shExpMatch(host, "*.office365.com"))
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.office.com"))	
        || (shExpMatch(host, "*.office.net"))
        || (shExpMatch(host, "*.officeapps.live.com"))		 
        || (shExpMatch(host, "*.onenote.com"))				
        || (shExpMatch(host, "*.outlook.com"))	
        || (shExpMatch(host, "*.outlookgroups.ms"))  
        || (shExpMatch(host, "*.oaspapps.com"))
        || (shExpMatch(host, "*.pipe.skype.com")) 			
        || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.sfbassets.com"))  
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sharepoint.com"))	
        || (shExpMatch(host, "*.skypeforbusiness.com"))	
        || (shExpMatch(host, "*.streaming.mediaservices.windows.net"))	
        || (shExpMatch(host, "*.svc.ms")) 	
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))
        || (shExpMatch(host, "*.teams.skype.com"))
        || (shExpMatch(host, "*.users.storage.live.com"))
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))				
        || (shExpMatch(host, "*.windows.net"))	
        || (shExpMatch(host, "*.yammer.com"))	
        || (shExpMatch(host, "*.yammerusercontent.com"))         
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "aka.ms"))	
        || (shExpMatch(host, "ajax.aspnetcdn.com"))
        || (shExpMatch(host, "amp.azure.net"))	
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "c.bing.net"))
        || (shExpMatch(host, "cert.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "client.hip.live.com"))     
        || (shExpMatch(host, "config.edge.skype.com"))
        || (shExpMatch(host, "connect.facebook.net"))
        || (shExpMatch(host, "crl.identrust.com/DSTROOTCAX3CRL.crl"))	
        || (shExpMatch(host, "dc.services.visualstudio.com"))	
        || (shExpMatch(host, "eus-www.sway-cdn.com"))	
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "graph.skype.com"))
        || (shExpMatch(host, "hybridconfiguration.azurewebsites.net"))  
        || (shExpMatch(host, "isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com"))					
        || (shExpMatch(host, "management.azure.com"))
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "nps.onyx.azure.net"))   
        || (shExpMatch(host, "ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "ocsp.msocsp.com"))     
        || (shExpMatch(host, "ocsp.omniroot.com"))     
        || (shExpMatch(host, "officecdn.microsoft.com.edgesuite.net"))
        || (shExpMatch(host, "officecdn.microsoft.com.edgekey.net"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com"))
        || (shExpMatch(host, "pipe.skype.com"))	
        || (shExpMatch(host, "platform.linkedin.com"))								
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))				
        || (shExpMatch(host, "prod.registrar.skype.com")) 
        || (shExpMatch(host, "prod.tpc.skype.com")) 
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "s-0001.s-msedge.net")) 
        || (shExpMatch(host, "s-0004.s-msedge.net"))   
        || (shExpMatch(host, "s0.assets-yammer.com"))  
        || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "site-cdn.onenote.net"))
        || (shExpMatch(host, "skydrive.wns.windows.com"))
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))		
        || (shExpMatch(host, "ssw.live.com"))
        || (shExpMatch(host, "staffhub.ms))
        || (shExpMatch(host, "staffhub.uservoice.com"))    
        || (shExpMatch(host, "storage.live.com"))				
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))	
        || (shExpMatch(host, "tse1.mm.bing.net"))     
        || (shExpMatch(host, "web.microsoftstream.com"))     
        || (shExpMatch(host, "wus-www.sway-cdn.com"))						
        || (shExpMatch(host, "wus-www.sway-extensions.com"))        
        || (shExpMatch(host, "wu.client.hip.live.com"))     
        || (shExpMatch(host, "www.bing.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com")))



    {
        return proxyserver;
    }

        //Catchall for all other traffic to another proxy

    else return "PROXY 10.10.10.11:8080";
}

Ниже представлено еще несколько средств, опубликованных участниками сообщества. Если вы разработали полезный инструмент и хотите поделиться им, напишите об этом в комментариях. Средства, упомянутые в этой статье, официально не поддерживаются и не обслуживаются корпорацией Майкрософт. Они представлены исключительно для вашего удобства.

  • Самое старое средство, помогающее управлять процессом. Создано участником сообщества Office 365. Вы можете ознакомиться с инструкциями и скачать его.

  • Подтверждение концепции и правила брандмауэра, доступные для экспорта: Microsoft Cloud IP API.

  • Материалы блога "IT Praktyk": инструкции, преобразование RSS-каналов, преобразование XML-файлов.

  • Скрипт Питера Абеля (Peter Abele): скачать.

  • Выполняйте анализ сети для выявления сетевых запросов, которые должны направляться в обход инфраструктуры вашего прокси-сервера. Ниже указаны полные доменные имена, для которых чаще всего выполняется обход клиентских прокси-серверов (список составлен на основе объема сетевого трафика, отправляемого и получаемого этими конечными точками).

    outlook.office365.com
    outlook.office.com
    <tenant-name>.sharepoint.com
    <tenant-name>-my.sharepoint.com
    <tenant-name>-<app>.sharepoint.com
    *.Lync.com
    
  • Чтобы сетевые запросы, отправляемые в ваш брандмауэр напрямую, могли попасть по назначению, для них должны быть соответствующие записи в списке разрешений брандмауэра.

Интеграция сети периметра

Знаете ли вы, что глобальная сеть Майкрософт — это одна из самых крупных магистралей в мире?

Благодаря ей Office 365 и наши другие облачные службы доступны независимо от того, где вы находитесь. Наша сеть состоит из соединений с высокой пропускной способностью, минимальными задержками и поддержкой отработки отказа. Это тысячи километров темного оптоволокна и терабиты подключений между центрами обработки данных и граничными узлами.

Мы уверены, что вы захотите как можно скорее подключить свои устройства к такой сети. Благодаря наличию более 2500 пиринговых связей с поставщиками услуг Интернета по всему миру и 70 точек присутствия это не должно составить проблем. Убедитесь в том, что ваш поставщик услуг Интернета использует оптимальную пиринговую связь. Вот несколько примеров подключений к нашей сети — как хороших, так и не очень.

Вы можете автоматически или вручную настроить устройства в своей сети для оптимальной обработки сетевых запросов приложений Office 365 (в зависимости от имеющегося оборудования). То, какие изменения нужно внести в конфигурацию для оптимальной обработки сетевого трафика Office 365, зависит от вашей среды. Для эффективного выполнения сетевых запросов Office 365 может потребоваться следующее:

  • Приоритет над менее важным сетевым трафиком.

  • Маршрутизация на локальный выход, которая позволяет избежать передачи через медленное подключение к глобальной сети и использовать преимущества низких задержек в сети Майкрософт. Подробные сведения можно найти здесь.

  • Использование DNS рядом с локальным выходом, чтобы обеспечить передачу сетевого запроса, отправленного через этот выход, через ближайшую точку подключения к сети Майкрософт.

  • Обход глубокой проверки пакетов или другой интенсивной обработки сетевых пакетов для обеспечения соответствия общим требованиям к задержкам.

Современные сетевые устройства могут управлять сетевыми запросами для надежных приложений, таких как Office 365, иначе, чем обычным недоверенным интернет-трафиком. Благодаря новым решениям для программно-определяемых глобальных сетей такое разграничение трафика и выбор путей можно выполнять с учетом изменяющегося состояния сети, например доступности в определенное время, задержки и производительности различных путей связи между пользователем и облаком.

Дополнительные рекомендации по планированию конфигурации сети см. в статьях Планирование сети и миграции при переходе на Office 365, План устранения неполадок с производительностью Office 365 и Контрольный список для планирования развертывания Office 365.

Чтобы реализовать этот сценарий, следуйте представленным ниже указаниям.

Узнайте у поставщика услуг или сетевого решения, может ли он использовать URL-адрес и определения IP-адресов Office 365 из XML-файла для обеспечения локального (с точки зрения пользователя), быстрого сетевого выхода для трафика Office 365, управлять его приоритетом относительно других приложений и настраивать сетевой путь для подключений Office 365 к сети Майкрософт с учетом изменяющихся условий сети. Некоторые решения скачивают и автоматизируют XML-файлы Office 365 с URL-адресами и определениями IP-адресов в своих стеках.

Всегда проверяйте, имеет ли внедренное решение необходимую степень устойчивости, надлежащую геоизбыточность сетевого пути для трафика Office 365 и может ли оно отражать изменения URL- и IP-адресов Office 365 по мере их публикации.

Вопросы о подключении, часто задаваемые администраторами

Щелкните ссылку внизу в зависимости от того, оказалась ли статья полезной для вас, и отправьте все дополнительные вопросы. Мы отслеживаем отзывы и добавляем сюда наиболее часто задаваемые вопросы.

Новые конечные точки вступают в силу и начинают получать сетевые запросы через 30 и более дней после объявления. За это время клиенты и партнеры могут обновить свои системы. Добавленные и удаленные полные доменные имена и IP-префиксы обрабатываются в XML-файле одновременно с объявлением, а следовательно новые полные доменные имена появляются в XML-файле за 30 дней до использования. Поскольку отправка сетевых запросов через удаляемые конечные точки прекращается до объявления об их удалении, на момент удаления конечной точки из XML-файла, которое происходит одновременно с объявлением, она уже не используется.

Конечные точки Office 365 публикуются в конце каждого месяца с уведомлением за 30 дней. В особых случаях изменения могут вноситься несколько раз в течение месяца или с более коротким сроком уведомления. При добавлении конечной точки в RSS-канале указывается дата ее вступления в действие, после которой на нее будут отправляться сетевые запросы. Если вы раньше не работали с RSS-каналом, подпишитесь на него через Outlook или настройте получение обновлений RSS-канала по электронной почте.

После оформления подписки на RSS-канал вы можете проанализировать информацию самостоятельно или при помощи скрипта. Для облегчения этой задачи в представленной ниже таблице описана структура RSS-канала.

Раздел

Элемент 1

Элемент 2

Элемент 3

Элемент 4

Элемент 5

Элемент 6

Описание

Номер

Дата, после которой в конечную точку могут отправляться сетевые запросы.

Основные сведения о компоненте или службе, которые используют конечную точку.

Можно ли подключиться к этой конечной точке только по Интернету или также через канал ExpressRoute?

Yes (Да) — к этой конечной точке можно подключиться как по Интернету, так и через канал ExpressRoute.

No (Нет) — к этой конечной точке можно подключиться только по Интернету.

Целевое полное доменное имя (FQDN) или диапазон IP-адресов для добавления.

Пример

1/

[Effective xx/xx/xxx.

Required: <описание>.

ExpressRoute:

<Yes/No>.

<FQDN/IP>],

В каждой записи используются следующие разделители:

  • / — ставится после номера;

  • [ — начало записи, соответствующей номеру;

  • . — ставится между отдельными разделами записи;

  • ], — конец отдельной записи;

  • ]. — конец всех записей.

Расположение клиента проще всего определить с помощью нашей карты центров обработки данных.

Расположения пиринговых подключений более подробно описаны здесь.

Благодаря наличию более 2500 пиринговых связей с поставщиками услуг Интернета по всему миру и 70 точек присутствия подключение к сети Майкрософт не должно составить проблем. Убедитесь в том, что ваш поставщик услуг Интернета использует оптимальную пиринговую связь. Вот несколько примеров подключений к нашей сети — как хороших, так и не очень.

Маршруты ExpressRoute определяются диапазонами IP-адресов Майкрософт и конкретными Office 365сообществами BGP.

Мы регулярно добавляем в набор Office 365 новые возможности и службы, таким образом увеличивая число узлов для подключения. Если вы подписаны на план E3 или E5, для доступа ко всем функциям набора вам понадобятся все конечные точки из списка. Если вы используете другой план, число задействованных конечных точек не сильно изменится.

На представленном ниже изображении приведен пример части таблицы с полными доменными именами из раздела "Office Online". В каждой строке указан компонент и приведены различные параметры подключения. В первых двух строках указано, что Office Online использует обязательные конечные точки для проверки подлинности и удостоверений Office 365, а также для портала и общих служб. Многие службы Office 365 зависят от этих общих служб. В третьей строке указано, что для использования Office Online у клиентских компьютеров должна быть возможность связи с доменом *.officeapps.live.com, а в четвертой — аналогичное для домена *.cdn.office.net.

Хотя для использования Office Online должны выполняться условия, указанные как в строке 3, так и в строке 4, они приведены в разных строках, так как назначения для них различаются.

  1. Домен *.officeapps.live.com не является сетью доставки содержимого, поэтому запросы, отправленные в это пространство имен, будут напрямую попадать в центры обработки данных Майкрософт.

  2. Домен *.officeapps.live.com доступен через каналы ExpressRoute посредством пиринга Майкрософт.

  3. IP-адреса, связанные с Office Online и доменом *.officeapps.live.com, можно найти по этой ссылке.

  4. Домен *.cdn.office.net представляет собой сеть доставки содержимого, размещенную компанией Akamai, поэтому запросы в это пространство имен будут направляться в центры обработки данных Akamai.

  5. Домен *.cdn.office.net недоступен через каналы ExpressRoute.

  6. IP-адреса, связанные с Office Online и доменом *.cdn.office.net, недоступны.

Снимок экрана: страница конечных точек

Мы предоставляем только IP-адреса серверов Office 365, к которым должна выполняться прямая маршрутизация через Интернет или ExpressRoute. Это не полный список всех IP-адресов, для которых будут создаваться сетевые запросы. Вы будете видеть запросы к IP-адресам Майкрософт и сторонних лиц, которых нет в этом списке. Они создаются или настраиваются динамически, и об их изменении невозможно известить заранее. Если брандмауэр не разрешает доступ на основе полных доменных имен для этих сетевых запросов, используйте PAC- или WPAD-файл для управления запросами.

Хотите узнать больше об IP-адресе, связанном с Office 365?

  1. Проверьте, нет ли его в более широком диапазоне опубликованных IP-адресов, используя калькулятор CIDR.

  2. Узнайте, не принадлежит ли IP-адрес партнеру, с помощью запроса whois. Если он принадлежит Майкросотф, возможно, это внутренний партнер.

  3. Проверьте сертификат, в браузере установите подключение к IP-адресу, указав его в формате HTTPS://<IP_АДРЕС>, проверьте домены, указанные в сертификате, чтобы понять, какие домены связаны с IP-адресом. Если этот IP-адрес принадлежит корпорации Майкрософт и отсутствует в списке адресов Office 365, скорее всего, он связан с сетью CDN Майкрософт, например MSOCDN.NET, или другим доменом Майкрософт, для которого не опубликованы сведения об IP-адресе. Если действительно окажется, что IP-адрес домена, указанного в сертификате, должен быть добавлен в список, сообщите нам об этом.

Office 365 и другие службы Майкрософт используют некоторые сторонние службы, такие как Akamai и MarkMonitor, для улучшения работы Office 365. В будущем мы можем сменить их, чтобы обеспечить стабильно высокий уровень обслуживания. При этом мы часто публикуем запись CNAME, указывающую на сторонний домен, запись A или IP-адрес. В стороннем домене может размещаться содержимое, например CDN, или служба, например геослужба управления трафиком. Подключения к этим сторонним поставщикам отображаются в виде перенаправления или ссылки, а не как первоначальные запросы от клиента. Некоторым клиентам необходимо разрешить такие ссылки и перенаправления, не добавляя отдельно длинный список полных доменных имен, которые могут использовать сторонние службы.

Список служб может быть изменен в любое время. Ниже перечислены некоторые из служб, которые используются в настоящее время.

MarkMonitor используется, если вы видите запросы, включающие полное доменное имя *.nsatc.net. Эта служба обеспечивает безопасность и мониторинг доменных имен для защиты от злоумышленников.

ExactTarget используется, если вы видите запросы на полное доменное имя *.exacttarget.com. Эта служба обеспечивает администрирование и мониторинг ссылок в сообщениях электронной почты для защиты от злоумышленников.

Akamai используется, если вы видите запросы, включающие одно из указанных ниже полных доменных имен. Эта служба предоставляет услуги geo-DNS и CDN.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

  • Вы подключаетесь к сторонним службам для обеспечения работы базовых служб Интернета, например для поиска DNS или получения содержимого по сети CDN. Подключение к сторонним службам также необходимо для интеграции, например для внедрения видеороликов YouTube в записные книги OneNote.

  • Вы подключаетесь к дополнительным службам, размещенным и работающим в корпорации Майкрософт, таким как граничные узлы, чтобы ваши сетевые запросы поступали в глобальную сеть Майкрософт в ближайшей точке доступа к Интернету. Благодаря тому, что это третья по величине сеть на планете, эффективность подключения существенно повышается. Вы также подключаетесь к службам Microsoft Azure, таким как службы мультимедиа Azure, которые используются многими службами Office 365.

  • Вы подключаетесь к основным службам Office 365, таким как почтовый сервер Exchange Online или сервер Skype для бизнеса Online, на которых размещаются ваши уникальные данные. Для подключения к основным службам Office 365 можно использовать полное доменное имя или IP-адрес, каналы Интернета или ExpressRoute. Подключение к сторонним или дополнительным службам возможно только по каналу Интернета с использованием полного доменного имени.

На приведенной ниже схеме показаны различия между областями действия этих служб. На этой схеме локальная сеть, расположенная в левом нижнем углу, содержит несколько сетевых устройств для управления сетевыми подключениями. Подобные конфигурации часто встречаются у корпоративных клиентов. Если ваша сеть содержит только брандмауэр между клиентскими компьютерами и Интернетом, такая конфигурация также поддерживается, однако необходимо убедиться, что брандмауэр поддерживает наличие полных доменных имен и подстановочных знаков в правилах списка разрешений.

Три типа конечных точек сети при использовании Office 365

Office 365 — это набор служб, рассчитанный на работу через Интернет, и заверения о его надежности и доступности подразумевают доступность многих стандартных служб Интернета. Например, стандартные службы Интернета, такие как DNS, CRL и CDN, должны быть доступны для использования Office 365 точно так же, как и для большинства современных веб-служб.

Помимо этих базовых служб Интернета существуют сторонние службы, которые используются только для интеграции функциональных возможностей. Например, использование Giphy.com в Microsoft Teams позволяет клиентам добавлять изображения в формате GIF. YouTube и Flickr — это тоже сторонние службы, используемые для интеграции видео и изображений из Интернета в клиенты Office. Хотя эти службы необходимы для интеграции, в статье о конечных точках Office 365 они помечены как необязательные: если такая конечная точка будет недоступна, базовая функциональность службы нарушена не будет.

Если при попытке использования Office 365 вы обнаружите, что сторонние службы недоступны, убедитесь, что все полные доменные имена, помеченные в этой статье как обязательные или необязательные, разрешены на прокси-сервере и в брандмауэре.

Дополнительные службы — это службы Майкрософт, которые не находятся под управлением Office 365. Это такие компоненты, как сеть периметра, службы мультимедиа Azure и сети доставки содержимого Azure. Все они требуются для использования Office 365 и должны быть доступны.

Если при попытке использования Office 365 вы обнаружите, что сторонние службы недоступны, убедитесь, что все полные доменные имена, помеченные в этой статье как обязательные или необязательные, разрешены на прокси-сервере и в брандмауэре.

Вы несете всю ответственность за последствия блокирования доступа к нашим службам для потребителей. Единственный надежный способ сделать это — заблокировать полное доменное имя login.live.com. Это полное доменное имя используется целым рядом служб, в том числе не предназначенных для потребителей, например MSDN, TechNet и т. п. Если вы заблокируете его, вам может понадобиться добавить исключения для правила обслуживания сетевых запросов, связанных с этими сервисами.

Имейте в виду, что если заблокировать доступ только к службам Майкрософт для потребителей, сохранится вероятность того, что какой-либо пользователь в сети сможет отфильтровать данные с помощью клиента Office 365 или другой службы.

См. также

Диапазоны IP-адресов центров обработки данных Microsoft Azure

Пространство общедоступных IP-адресов Майкрософт

Требования к сетевой инфраструктуре для Microsoft Intune

Power BI и ExpressRoute

URL-адреса и диапазоны IP-адресов Office 365

Управление подключением к Office 365 через ExpressRoute

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×