Управление подключением к Office 365 через ExpressRoute

ExpressRoute для Office 365 предоставляет альтернативный маршрут для подключения ко многим службам Office 365, не требуя передачи всего трафика через Интернет. Хотя подключение Office 365 к Интернету по-прежнему требуется, маршруты, объявляемые Майкрософт в сети через BGP, по возможности используют прямой канал ExpressRoute, если только в вашей сети не заданы другие настройки. Для управления такой маршрутизацией следует настроить фильтрацию префиксов, безопасность и соответствие требованиям.

Примечание : Корпорация Майкрософт изменила способ рецензирования домена маршрутизации для пиринга Майкрософт в Azure ExpressRoute. С 31 июля 2017 г. все пользователи Azure ExpressRoute могут включить пиринг Майкрософт непосредственно в консоли администрирования Azure или с помощью PowerShell. Включив пиринг Майкрософт, клиент может создавать фильтры маршрутизации, чтобы приложения Dynamics 365 для отслеживания истории взаимоотношений с клиентом (ранее известные как CRM Online) могли получать объявления маршрута BGP. Перед созданием фильтров маршрутизации для Office 365 клиенты, использующие Azure ExpressRoute для Office 365, должны пройти процедуру рецензирования от Майкрософт. Обратитесь в службу технической поддержки учетных записей Майкрософт, чтобы узнать, как запросить рецензирование для включения Office 365 ExpressRoute. При попытке создать фильтры маршрутизации для Office 365 без авторизованной подписки вы получите сообщение об ошибке.

Фильтрация префиксов

Рекомендуется принимать все маршруты BGP, объявленные Майкрософт. Они проходят строгую проверку, поэтому их можно не тестировать дополнительно. ExpressRoute поддерживает рекомендуемые средства контроля, такие как владение префиксами IP-адресов, целостность и масштаб, позволяя не выполнять фильтрацию входящих маршрутов на стороне клиента.

Если вам требуется дополнительная проверка владения маршрутами для открытого пиринга ExpressRoute, вы можете сравнить объявленные маршруты со списком всех префиксов IPv4 и IPv6, которые определяют диапазоны общедоступных IP-адресов Майкрософт. Такие диапазоны охватывают все адресное пространство Майкрософт и редко меняются, поэтому их можно использовать в качестве надежного списка диапазонов, что обеспечивает дополнительную защиту клиентов, обеспокоенных тем, что в их среде могут появиться маршруты, не принадлежащие Майкрософт. Обо всех изменениях сообщается первого числа следующего месяца, а номер версии в разделе Сведения изменяется при каждом обновлении файла.

Существует несколько причин, по которым не рекомендуется использовать URL-адреса и диапазоны IP-адресов Office 365 для создания списков фильтрации префиксов. К ним относятся следующие:

  • Префиксы IP-адресов Office 365 часто меняются.

  • URL-адреса и диапазоны IP-адресов Office 365 предназначены для управления списками разрешений брандмауэров и инфраструктурой прокси-серверов, а не маршрутизацией.

  • URL-адреса и диапазоны IP-адресов Office 365 не охватывают другие службы Майкрософт, которые могут входить в область подключений ExpressRoute.

Параметр

Сложность

Контроль изменений

Принимать все маршруты Майкрософт

Низкая: надлежащее владение маршрутами обеспечивается корпорацией Майкрософт.

Нет

Фильтровать суперсети Майкрософт

Средняя: клиент реализует обобщенные списки фильтрации префиксов, чтобы разрешить только маршруты Майкрософт.

Клиенты должны обеспечить изменение фильтров в соответствии с обновлениями (которые происходят нечасто).

Фильтровать диапазоны IP-адресов Office 365

Предупреждение : Не рекомендуется

Высокая: клиент фильтрует маршруты на основе определенных префиксов IP-адресов Office 365.

Клиентам необходимо реализовать надежный процесс управления изменениями для ежемесячных обновлений.

Внимание : Это решение требует постоянных и значительных изменений. Задержка применения изменений, скорее всего, приведет к недоступности службы.

Для подключения к Office 365 с помощью Azure ExpressRoute используются объявления BGP IP-подсетей, представляющих сети, в которых развернуты конечные точки Office 365. Из-за глобального распространения Office 365 и количества служб, которые образуют Office 365, клиентам часто приходится управлять объявлениями, которые они принимают в своей сети. Если в среде объявляется слишком много префиксов, с помощью сообщества BGP можно отфильтровать объявления для определенного набора служб Office 365. Сейчас доступна предварительная версия этой возможности.

Независимо от того, как вы управляете объявлениями маршрутов BGP от Майкрософт, подключение к службам Office 365 не будет отличаться от подключения к Office 365 только через интернет-канал. Корпорация Майкрософт обеспечивает одинаковые уровни безопасности, соблюдения требований и производительности вне зависимости от типа канала, который используется для подключения к Office 365.

Безопасность

Корпорация Майкрософт рекомендует использовать собственные средства контроля сети и безопасности для подключений к общедоступной сети ExpressRoute и пирингу Майкрософт и из них, включая подключения к службам Office 365 и из них. Необходимы средства контроля для сетевых запросов, которые отправляются из вашей сети в сеть Майкрософт, а также для входящих подключений из сети Майкрософт в вашу сеть.

Исходящие подключения от клиента в Майкрософт

Компьютеры подключаются к одним и том же конечным точкам Office 365 независимо от того, как устанавливается подключение: через Интернет или канал ExpressRoute. Независимо от используемого канала корпорация Майкрософт рекомендует считать службы Office 365 более надежными, чем обычные сайты. Средства контроля безопасности исходящих подключений должны определять надлежащие порты и протоколы, чтобы снизить риски и свести к минимуму необходимость обслуживания. Сведения о требуемых портах можно найти в статье о конечных точках Office 365.

Чтобы усилить контроль, можно использовать фильтрацию на уровне полных доменных имен (FQDN) в инфраструктуре прокси-сервера для ограничения или проверки некоторых или всех сетевых запросов, отправляемых в Интернет и Office 365. Так как постоянно выпускаются новые компоненты, а службы Office 365 развиваются, для ведения списка FQDN требуется управлять изменениями и тщательно отслеживать обновления конечных точек Office 365.

Предупреждение : Корпорация Майкрософт не рекомендует полагаться исключительно на префиксы IP-адресов для управления безопасностью исходящих подключений к Office 365.

Параметр

Сложность

Контроль изменений

Нет ограничений.

Низкая: клиент разрешает неограниченные исходящие подключения к серверам Майкрософт.

Нет

Ограничения портов

Низкая: клиент ограничивает исходящие подключения к серверам Майкрософт с помощью поддерживаемых портов.

Редкие изменения.

Ограничения FQDN

Высокая: клиент ограничивает исходящие подключения к Office 365 на основе опубликованных полных доменных имен (FQDN).

Ежемесячные изменения.

Исходящие подключения от Майкрософт к клиенту

В некоторых случаях корпорации Майкософт требуется установить подключение к вашей сети:

Корпорация Майкрософт рекомендует принимать такие подключения через ваш интернет-канал вместо канала ExpressRoute, чтобы снизить сложность. Если для соответствия требованиям или повышения производительности вам нужно принимать эти входящие подключения через канал ExpressRoute, рекомендуется использовать брандмауэр или обратный прокси-сервер для ограничения разрешенных подключений. Вы можете использовать конечные точки Office 365, чтобы определить правильные FQDN и префиксы IP-адресов.

Соответствие требованиям

Обеспечение соответствия требованиям не зависит от пути маршрутизации. Наши средства контроля не изменяются в зависимости от того, подключаетесь ли вы к службам Office 365 через канал ExpressRoute или же через интернет-канал. Изучите различные уровни соответствия требованиям и сертификации безопасности для Office 365, чтобы определить наилучший вариант для своей компании.

Вы можете быстро вернуться сюда с помощью этой короткой ссылки: https://aka.ms/manageexpressroute365.

См. также:

Сети доставки содержимого
URL-адреса и диапазоны IP-адресов Office 365
Управление конечными точками Office 365
Учебный курс по Azure ExpressRoute для Office 365

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×