Spravovanie koncových bodov služieb Office 365

Sieťové pripojenie služieb Office 365

4. 10. 2017Pripojenia k službám Office 365 pozostávajú z vysoko objemových dôveryhodných sieťových požiadaviek, ktoré sú najvýkonnejšie pri odosielaní cez východy s krátkym oneskorením neďaleko používateľa. Niektorým pripojeniam k službám Office 365 môže prospieť optimalizácia pripojenia.

  1. Uistite sa, že zoznam povolení v bráne firewall umožňuje pripojenie koncových bodov služieb Office 365.

  2. Na povolenie internetového pripojenia k zástupným a nepublikovaným cieľom použite infraštruktúru proxy.

  3. Udržiavajte optimálnu konfiguráciu sieťového perimetra.

Pripojenie k službám Office 365 prostredníctvom brán firewall a serverov proxy.

Aktualizácia zoznamov povolení pre odchádzajúcu komunikáciu v bráne firewall

Svoju sieť môžete optimalizovať odoslaním všetkých dôveryhodných sieťových požiadaviek služieb Office 365 priamo cez bránu firewall, pričom sa obídu všetky ďalšie kontroly alebo spracovanie na úrovni paketov. Obmedzuje sa tak pomalý výkon spôsobený časovým oneskorením a znižujú sa požiadavky na kapacitu nárazníka. Najjednoduchším spôsobom, ako vybrať dôveryhodné sieťové požiadavky, je použiť vopred vytvorené súbory PAC na karte Servery proxy vyššie.

Ak brána firewall blokuje odchádzajúce prenosy, bude potrebné zabezpečiť, aby boli všetky IP adresy a názvy FQDN, ktoré sú uvedené v tomto XML súbore označené ako Povinné, súčasťou zoznamu povolených položiek. Rozpoznanie všetkých služieb vyžaduje použitie niektorých služieb tretích strán. Neposkytujeme IP adresy pre služby tretích strán, ako sú poskytovatelia certifikátov, siete na doručovanie obsahu, poskytovatelia DNS a podobne. Na zabezpečenie plnej funkčnosti služieb Office 365 musíte byť schopní dosiahnuť ciele požadované službami Office 365 bez ohľadu na to, koľko informácií o cieli publikujeme.

IP adresy mnohých cieľov nie sú publikované alebo sú označené ako zástupné domény bez konkrétneho úplne kvalifikovaného názvu domény. Ak chcete využívať túto funkciu, musíte dokázať vyriešiť tieto sieťové požiadavky žiadajúce aktuálnu IP adresu a odoslať sieťovú požiadavku cez internet.

Automatizujte proces pomocou brány firewall, ktorá vo vašom mene analyzuje súbor XML a automaticky aktualizuje pravidlá na základe služieb alebo funkcií, ktoré plánujete smerovať priamo cez bránu firewall. Môžete tiež použiť nástroj Azure Range, ktorý zostavila komunita a ktorý slúži na analýzu XML súborov s možnosťami exportovania pre konfiguráciu Cisco XE Route alebo zoznamu ACL, obyčajný text alebo CSV.

Dlhšie vysvetlenie cieľových umiestnení siete nájdete na našej referenčnej lokalite alebo prostredníctvom nášho denníka zmien založeného na technológii RSS, kde sa môžete prihlásiť na odber zmien.

Konfigurácia ciest odchádzajúcich prenosov pomocou súborov PAC

Ak potrebujete spravovať sieťové požiadavky, ktoré sa týkajú služieb Office 365, ale nemajú poskytnutú IP adresu, použite súbory PAC alebo WPAD. Sieťové požiadavky odoslané prostredníctvom servera proxy alebo nárazníkového zariadenia zvyčajne spôsobujú dlhšie oneskorenie. Hoci overovanie servera proxy si vyberá najvyššiu daň, ostatné služby, ako vyhľadávanie reputácie a pokusy o skontrolovanie paketov, môžu spôsobiť zlú používateľskú skúsenosť. Tieto nárazníkové sieťové zariadenia zároveň potrebujú dostatočnú kapacitu na spracovanie všetkých sieťových požiadaviek. V prípade priamych sieťových požiadaviek služieb Office 365 odporúčame obísť infraštruktúru servera proxy a infraštruktúru kontroly.

Jeden z našich súborov PAC použite ako východiskový bod, pomocou ktorého určíte, ktoré sieťové prenosy sa odošlú na server proxy a ktoré sa odošlú do brány firewall. Ak ešte len začínate používať súbory PAC alebo WPAD, prečítajte si tento príspevok o nasadení súborov PAC od jedného z našich konzultantov pre Office 365. Súbory potom na začiatok skontrolujte a upravte tak, aby sa hodili do vášho prostredia.

Súbory PAC aktualizované 4. 10. 2017.

Prvý príklad znázorňuje náš odporúčaný postup pri správe koncových bodov výhradne cez internet. Obchádza server proxy pre cieľové umiestnenia služieb Office 365, ktoré majú publikované IP adresy, a odosiela zostávajúce sieťové požiadavky do brány firewall.

Zlomok kódu:

// JavaScript source code

October 2017 - Updates go live 1st Nov 2017
//This PAC file contains all FQDNs needed for all services and splits the traffic between those which Microsoft can provide IPs for (so can be sent through a managed firewall with conditional access) and those which IPs cannot be provided for, so need to go to an unrestricted proxy or egress. 
//Due to the use of wildcards, some extra logic is provided to send traffic to the proxy before a 'direct' wildcard is hit.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    var proxyserver2 = "PROXY 10.10.10.11:8080"
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    //Catch explicit FQDNs which need the proxy but are covered under wildcarded FQDNs which have IPs. This has to be done first before the wildcard is hit

    if ((shExpMatch(host, "browser.pipe.aria.microsoft.com")) 
        || (shExpMatch(host, "compliance.outlook.com"))       
        || (shExpMatch(host, "mobile.pipe.aria.microsoft.com"))
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "r1.res.office365.com")) 
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "r3.res.outlook.com"))
        || (shExpMatch(host, "xsi.outlook.com")))

    {
        return proxyserver;
    }
        //Send FQDNs which Microsoft provide IPs for direct, so they can be sent via a firewall

    else if ((isPlainHostName(host))
    || (shExpMatch(host, "*.asm.skype.com"))
    || (shExpMatch(host, "*.broadcast.skype.com"))
    || (shExpMatch(host, "*.cc.skype.com"))
    || (shExpMatch(host, "*.config.skype.com"))
    || (shExpMatch(host, "*.conv.skype.com"))
    || (shExpMatch(host, "*.dc.trouter.io"))
    || (shExpMatch(host, "*.infra.lync.com"))
    || (shExpMatch(host, "*.lync.com"))
    || (shExpMatch(host, "*.msg.skype.com"))
    || (shExpMatch(host, "*.office365.com"))
    || (shExpMatch(host, "*.outlook.com"))
    || (shExpMatch(host, "*.outlook.office.com"))
    || (shExpMatch(host, "*.pipe.aria.microsoft.com"))
    || (shExpMatch(host, "*.pipe.skype.com"))
    || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
    || (shExpMatch(host, "*.protection.office.com"))
    || (shExpMatch(host, "*.sharepoint.com"))
    || (shExpMatch(host, "*.skypeforbusiness.com"))
    || (shExpMatch(host, "*.svc.ms"))
    || (shExpMatch(host, "*.teams.microsoft.com"))
    || (shExpMatch(host, "*.teams.skype.com"))
    || (shExpMatch(host, "*.yammer.com"))
    || (shExpMatch(host, "*.yammerusercontent.com"))
    || (shExpMatch(host, "*broadcast.officeapps.live.com"))
    || (shExpMatch(host, "*excel.officeapps.live.com"))
    || (shExpMatch(host, "*onenote.officeapps.live.com"))
    || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
    || (shExpMatch(host, "*view.officeapps.live.com"))
    || (shExpMatch(host, "*visio.officeapps.live.com"))
    || (shExpMatch(host, "*word-edit.officeapps.live.com"))
    || (shExpMatch(host, "*word-view.officeapps.live.com"))    
    || (shExpMatch(host, "account.office.net"))
    || (shExpMatch(host, "adminwebservice.microsoftonline.com"))
    || (shExpMatch(host, "agent.office.net"))
    || (shExpMatch(host, "apc.delve.office.com"))
    || (shExpMatch(host, "api.login.microsoftonline.com"))
    || (shExpMatch(host, "aus.delve.office.com"))
    || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))    
    || (shExpMatch(host, "can.delve.office.com"))
    || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
    || (shExpMatch(host, "ccs.login.microsoftonline.com"))
    || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
    || (shExpMatch(host, "clientlog.portal.office.com"))
    || (shExpMatch(host, "config.edge.skype.com"))
    || (shExpMatch(host, "controls.office.com"))
    || (shExpMatch(host, "cus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "delve.office.com"))
    || (shExpMatch(host, "device.login.microsoftonline.com"))    
    || (shExpMatch(host, "ea-000.tasks.osi.office.net"))
    || (shExpMatch(host, "eus-zzz.tasks.osi.office.net"))
    || (shExpMatch(host, "gbr.delve.office.com"))
    || (shExpMatch(host, "hip.microsoftonline-p.net"))
    || (shExpMatch(host, "hipservice.microsoftonline.com"))
    || (shExpMatch(host, "home.office.com"))
    || (shExpMatch(host, "ind.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "kor.delve.office.com"))
    || (shExpMatch(host, "lam.delve.office.com"))
    || (shExpMatch(host, "login.microsoft.com"))
    || (shExpMatch(host, "login.microsoftonline.com"))
    || (shExpMatch(host, "login.microsoftonline-p.com"))
    || (shExpMatch(host, "login.windows.net"))
    || (shExpMatch(host, "logincert.microsoftonline.com"))
    || (shExpMatch(host, "loginex.microsoftonline.com"))
    || (shExpMatch(host, "login-us.microsoftonline.com"))     
    || (shExpMatch(host, "nam.delve.office.com"))
    || (shExpMatch(host, "neu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "nexus.microsoftonline-p.com"))
    || (shExpMatch(host, "nexus.officeapps.live.com"))
    || (shExpMatch(host, "nexusrules.officeapps.live.com"))
    || (shExpMatch(host, "pipe.skype.com"))
    || (shExpMatch(host, "portal.microsoftonline.com"))
    || (shExpMatch(host, "portal.office.com"))
    || (shExpMatch(host, "prod.registrar.skype.com"))
    || (shExpMatch(host, "prod.tpc.skype.com"))
    || (shExpMatch(host, "provisioningapi.microsoftonline.com"))
    || (shExpMatch(host, "s-0001.s-msedge.net"))
    || (shExpMatch(host, "s-0004.s-msedge.net"))
    || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net"))   
    || (shExpMatch(host, "sea-000.tasks.osi.office.net"))    
    || (shExpMatch(host, "signup.microsoft.com"))
    || (shExpMatch(host, "stamp2.login.microsoftonline.com"))
    || (shExpMatch(host, "suite.office.net"))    
    || (shExpMatch(host, "tasks.office.com"))
    || (shExpMatch(host, "teams.microsoft.com"))
    || (shExpMatch(host, "testconnectivity.microsoft.com"))
    || (shExpMatch(host, "weu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "wus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "www.office.com"))
    || (shExpMatch(host, "www.sway.com")))
      
    {
        return "DIRECT";
    }
    else

        // Send all unknown IP traffic to Proxy for unrestricted access. This section is not necessary if you have a catchall for all other traffic to go to an unfiltered proxy. 
        //However the fqdns required, but for which we dont have IPs for, are listed here incase you need an explicit list.

    if ((shExpMatch(host, "*.aadrm.com")) 
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "*.adhybridhealth.azure.com"))    
        || (shExpMatch(host, "*.api.microsoftstream.com"))   
        || (shExpMatch(host, "*.api.skype.com"))
        || (shExpMatch(host, "*.assets-yammer.com"))   
        || (shExpMatch(host, "*.azurerms.com")) 
        || (shExpMatch(host, "*.azureedge.net"))            
        || (shExpMatch(host, "*.cloudapp.net")) 
        || (shExpMatch(host, "*.entrust.net")) 
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.helpshift.com"))   
        || (shExpMatch(host, "*.hockeyapp.net"))    
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    
        || (shExpMatch(host, "*.microsoft.com"))
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))
        || (shExpMatch(host, "*.msedge.net"))      
        || (shExpMatch(host, "*.msocdn.com"))   
        || (shExpMatch(host, "*.office.com"))   
        || (shExpMatch(host, "*.office.net")) 
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.secure.skypeassets.com"))  
        || (shExpMatch(host, "*.sfbassets.com"))
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))     
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))
        || (shExpMatch(host, "*.windows.net"))
        || (shExpMatch(host, "ad.atdmt.com")) 
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "ajax.aspnetcdn.com")) 
        || (shExpMatch(host, "aka.ms"))
        || (shExpMatch(host, "amp.azure.net")) 
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "broadcast.skype.com")) 
        || (shExpMatch(host, "cacerts.digicert.com"))        
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "compliance.outlook.com"))   
        || (shExpMatch(host, "connect.facebook.net"))        
        || (shExpMatch(host, "crl.globalsign.com"))
        || (shExpMatch(host, "crl3.digicert.com"))  
        || (shExpMatch(host, "crl4.digicert.com")) 
        || (shExpMatch(host, "dc.services.visualstudio.com")) 
        || (shExpMatch(host, "domains.live.com"))
        || (shExpMatch(host, "ecn.dev.virtualearth.net "))   
        || (shExpMatch(host, "eus-www.sway-cdn.com"))
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "eur.delve.office.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "firstpartyapps.oaspapps.com")) 
        || (shExpMatch(host, "graph.skype.com"))   
        || (shExpMatch(host, "groupsapi2-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi3-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi4-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi-prod.outlookgroups.ms")) 
        || (shExpMatch(host, "latest-swx.cdn.skype.com")) 
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com")) 
        || (shExpMatch(host, "management.azure.com"))        
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "ocsp.globalsign.com"))
        || (shExpMatch(host, "ocsp.msocsp.com"))       
        || (shExpMatch(host, "ocsp2.globalsign.com"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com")) 
        || (shExpMatch(host, "pipe.skype.com")) 
        || (shExpMatch(host, "platform.linkedin.com"))
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))
        || (shExpMatch(host, "prod.firstpartyapps.oaspapps.com.akadns.net")) 
        || (shExpMatch(host, "r1.res.office365.com"))
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "s.ytimg.com")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "secure.aadcdn.microsoftonline-p.com"))
        || (shExpMatch(host, "secure.globalsign.com")) 
        || (shExpMatch(host, "site-cdn.onenote.net")) 
        || (shExpMatch(host, "skydrive.wns.windows.com")) 
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))   
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))  
        || (shExpMatch(host, "staffhub.ms"))
        || (shExpMatch(host, "staffhub.uservoice.com")) 
        || (shExpMatch(host, "sway.com"))              
        || (shExpMatch(host, "swx.cdn.skype.com"))  
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))         
        || (shExpMatch(host, "telemetryservice.firstpartyapps.oaspapps.com"))    
        || (shExpMatch(host, "web.microsoftstream.com"))         
        || (shExpMatch(host, "wus-firstpartyapps.oaspapps.com"))  
        || (shExpMatch(host, "wus-www.sway-cdn.com"))
        || (shExpMatch(host, "wus-www.sway-extensions.com"))   
        || (shExpMatch(host, "xsi.outlook.com"))
        || (shExpMatch(url, "http://apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(url, "http://cert.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://crl.identrust.com/DSTROOTCAX3CRL.crl"))
        || (shExpMatch(url, "http://isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(url, "http://ocsp.digicert.com"))
        || (shExpMatch(url, "http://ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://ocsp.msocsp.com"))
        || (shExpMatch(url, "http://ocspx.digicert.com"))   
        || (shExpMatch(url, "https://assets.onestore.ms/cdnfiles/external/"))   
        || (shExpMatch(url, "https://cdn.optimizely.com/js/"))  
        || (shExpMatch(url, "https://nps.onyx.azure.net"))
        || (shExpMatch(url, "https://web.localytics.com/v3/localytics.js"))  
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertGlobalRootCA.crt"))
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertHighAssuranceEVRootCA.crt"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com"))
        || (shExpMatch(host, "www.youtube.com")))
        

    {
        return proxyserver;
    }

    //Catchall for all other traffic to another proxy 

else return proxyserver;
}

Druhý príklad znázorňuje náš odporúčaný prístup k spravovaniu pripojení, ak sú k dispozícii okruhy ExpressRoute aj internet. Odosiela propagované cieľové umiestnenia ExpressRoute do okruhu ExpressRoute a internetové cieľové umiestnenia na server proxy.

Zlomok kódu:

// JavaScript source code
//October2017 Update
// Consolidated FQDNs of URLS which are reachable via Microsoft peering over ExpressRoute. All other traffic sent to a proxy in this example. 
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your traffic flow needs and the Office 365 URL & IP page. 
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;
    //SUB-FQDNs of ExpressRoutable wildcards which need to be explicitly sent to the proxy at the top of the PAC because they arent ER routable
    if ((shExpMatch(host, "*.click.email.microsoftonline.com"))
        || (shExpMatch(host, "*.portal.microsoftonline.com")))					
    {
        return proxyserver;
    }
        //EXPRESS ROUTE DIRECT
    else if ((isPlainHostName(host))
            || (shExpMatch(host, "*.asm.skype.com"))
            || (shExpMatch(host, "*broadcast.officeapps.live.com"))
            || (shExpMatch(host, "*.cc.skype.com"))
            || (shExpMatch(host, "*.config.skype.com"))    
            || (shExpMatch(host, "*.conv.skype.com"))
            || (shExpMatch(host, "*.dc.trouter.io"))
            || (shExpMatch(host, "*excel.officeapps.live.com"))
            || (shExpMatch(host, "*.lync.com"))	
            || (shExpMatch(host, "*.microsoftonline.com"))
            || (shExpMatch(host, "*.msg.skype.com"))
            || (shExpMatch(host, "*onenote.officeapps.live.com"))
            || (shExpMatch(host, "*.outlook.office.com"))
            || (shExpMatch(host, "*.pipe.skype.com")) 
            || (shExpMatch(host, "*.pipe.aria.microsoft.com")) 
            || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
            || (shExpMatch(host, "*.protection.office.com"))
            || (shExpMatch(host, "*.protection.outlook.com"))						
            || (shExpMatch(host, "*.sharepoint.com")) 
            || (shExpMatch(host, "*.skypeforbusiness.com")) 
            || (shExpMatch(host, "*.svc.ms"))   
            || (shExpMatch(host, "*.teams.microsoft.com"))  
            || (shExpMatch(host, "*.teams.skype.com"))  
            || (shExpMatch(host, "*view.officeapps.live.com"))                                 
            || (shExpMatch(host, "*visio.officeapps.live.com"))
            || (shExpMatch(host, "*word-view.officeapps.live.com"))
            || (shExpMatch(host, "*word-edit.officeapps.live.com"))	
            || (shExpMatch(host, "autodiscover-*.outlook.com"))				
            || (shExpMatch(host, "apc.delve.office.com"))
            || (shExpMatch(host, "aus.delve.office.com"))
            || (shExpMatch(host, "account.office.net"))
            || (shExpMatch(host, "agent.office.net"))  
            || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))  
            || (shExpMatch(host, "can.delve.office.com")) 
            || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
            || (shExpMatch(host, "ccs.login.microsoftonline.com"))  
            || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
            || (shExpMatch(host, "config.edge.skype.com"))
            || (shExpMatch(host, "delve.office.com"))
            || (shExpMatch(host, "domains.live.com")) 
            || (shExpMatch(host, "eur.delve.office.com"))
            || (shExpMatch(host, "gbr.delve.office.com"))
            || (shExpMatch(host, "hip.microsoftonline-p.net"))
            || (shExpMatch(host, "home.office.com"))
            || (shExpMatch(host, "ind.delve.office.com"))
            || (shExpMatch(host, "jpn.delve.office.com"))
            || (shExpMatch(host, "kor.delve.office.com"))
            || (shExpMatch(host, "lam.delve.office.com"))
            || (shExpMatch(host, "login.microsoftonline-p.net"))				
            || (shExpMatch(host, "login.windows.net"))						
            || (shExpMatch(host, "login.microsoft.com"))
            || (shExpMatch(host, "nam.delve.office.com"))
            || (shExpMatch(host, "nexus.microsoftonline-p.net"))
            || (shExpMatch(host, "outlook.office365.com")) 
            || (shExpMatch(host, "pipe.skype.com"))	
            || (shExpMatch(host, "portal.office.com"))
            || (shExpMatch(host, "prod.registrar.skype.com"))
            || (shExpMatch(host, "prod.tpc.skype.com"))
            || (shExpMatch(host, "s-0001.s-msedge.net"))
            || (shExpMatch(host, "s-0004.s-msedge.net"))
            || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net"))
            || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net"))  
            || (shExpMatch(host, "signup.microsoft.com"))
            || (shExpMatch(host, "smtp.office365.com"))  
            || (shExpMatch(host, "suite.office.net")) 
            || (shExpMatch(host, "teams.microsoft.com"))  
            || (shExpMatch(host, "www.outlook.com"))   						
            || (shExpMatch(host, "www.office.com")))



       
    {
        return "DIRECT";
    }

        // If Azure public peering is available the following can be added to the Expressroute section above and sent direct via ER. If not these can be sent via the internet i.e delete them from the PAC file.
       
        //*.adhybridhealth.azure.com
        //*.cloudapp.net
        //*.blob.core.windows.net
        //*.hybridconfiguration.azurewebsites.net
        //*.keydelivery.mediaservices.windows.net
        //*.queue.core.windows.net
        //*.servicebus.windows.net - Port: 5671 (If 5671 is blocked, agent falls back to 443, but using 5671 is recommended.)
        //*.store.core.windows.net
        //*.streaming.mediaservices.windows.net
        //*.table.core.windows.net
        //compliance.outlook.com
        //dc.services.visualstudio.com
        //equivio.office.com
        //equivioprod*.cloudapp.net
        //hybridconfiguration.azurewebsites.net
        //liverdcxstorage.blob.core.windowsazure.com//
        //management.azure.com
        //mshrcstorageprod.blob.core.windows.net
        //office365servicehealthcommunications.cloudapp.net
        //office365zoom.cloudapp.net
        //policykeyservice.dc.ad.msft.net
        //protection.office.com
        //secure.aadcdn.microsoftonline-p.com
        //telemetry.remoteapp.windowsazure.com
        //vortex.data.microsoft.com
        //www.remoteapp.windowsazure.com
        //zoom-cs-prod*.cloudapp.net



        //Catchall for all other traffic to proxy
    else
    {
        return proxyserver;
    }
}

Tretí príklad znázorňuje odosielanie všetkých sieťových požiadaviek týkajúcich sa služieb Office 365 do jedného cieľového umiestnenia. Tento spôsob sa obvykle používa na obídenie všetkej kontroly sieťových požiadaviek služieb Office 365 a poskytuje tiež formát používaný na prispôsobenie, v ktorom sú všetky publikované koncové body v zozname vo formáte PAC.

Zlomok kódu:

// JavaScript source code
//October 2017 Update new URLS go live 1st Nov2017 - Some URLs may have been removed from this file from previous versions as they are no longer required.
//Consolidated FQDNs required to access Office 365 - All services including optional components covered and elements covered under wildcards removed. 
//Some repeated domains have been consoliodated into unpublished wildcards in order to keep the file as small as possible.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    if ((shExpMatch(host, "*.adhybridhealth.azure.com"))
        || (shExpMatch(host, "*.api.microsoftstream.com"))  
        || (shExpMatch(host, "*.api.skype.com"))  
        || (shExpMatch(host, "*.asm.skype.com"))     
        || (shExpMatch(host, "*.assets-yammer.com"))
        || (shExpMatch(host, "*.azureedge.net"))   
        || (shExpMatch(host, "*.broadcast.skype.com"))
        || (shExpMatch(host, "*.cc.skype.com")) 
        || (shExpMatch(host, "*.cdn.skype.com")) 
        || (shExpMatch(host, "*.cloudapp.net")) 	
        || (shExpMatch(host, "*.config.skype.com")) 
        || (shExpMatch(host, "*.conv.skype.com"))
        || (shExpMatch(host, "*.crl.entrust.net"))
        || (shExpMatch(host, "*.dc.trouter.io"))
        || (shExpMatch(host, "*.digicert.com"))
        || (shExpMatch(host, "*.entrust.net")) 	        
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.giphy.com")) 
        || (shExpMatch(host, "*.globalsign.com"))
        || (shExpMatch(host, "*.helpshift.com")) 
        || (shExpMatch(host, "*.hockeyapp.net"))       							
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    	
        || (shExpMatch(host, "*.lync.com"))
        || (shExpMatch(host, "*.microsoft.com"))				
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))	
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))	
        || (shExpMatch(host, "*.msedge.net"))
        || (shExpMatch(host, "*.msg.skype.com")) 					
        || (shExpMatch(host, "*.msocdn.com"))
        || (shExpMatch(host, "*.notification.api.microsoftstream.com"))	
        || (shExpMatch(host, "*.ocsp.omniroot.com"))    			
        || (shExpMatch(host, "*.office365.com"))
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.office.com"))	
        || (shExpMatch(host, "*.office.net"))
        || (shExpMatch(host, "*.officeapps.live.com"))		 
        || (shExpMatch(host, "*.onenote.com"))				
        || (shExpMatch(host, "*.outlook.com"))	
        || (shExpMatch(host, "*.outlookgroups.ms"))  
        || (shExpMatch(host, "*.oaspapps.com"))
        || (shExpMatch(host, "*.pipe.skype.com")) 			
        || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.sfbassets.com"))  
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sharepoint.com"))	
        || (shExpMatch(host, "*.skypeforbusiness.com"))	
        || (shExpMatch(host, "*.streaming.mediaservices.windows.net"))	
        || (shExpMatch(host, "*.svc.ms")) 	
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))
        || (shExpMatch(host, "*.teams.skype.com"))
        || (shExpMatch(host, "*.users.storage.live.com"))
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))				
        || (shExpMatch(host, "*.windows.net"))	
        || (shExpMatch(host, "*.yammer.com"))	
        || (shExpMatch(host, "*.yammerusercontent.com"))         
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "aka.ms"))	
        || (shExpMatch(host, "ajax.aspnetcdn.com"))
        || (shExpMatch(host, "amp.azure.net"))	
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "c.bing.net"))
        || (shExpMatch(host, "cert.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "client.hip.live.com"))     
        || (shExpMatch(host, "config.edge.skype.com"))
        || (shExpMatch(host, "connect.facebook.net"))
        || (shExpMatch(host, "crl.identrust.com/DSTROOTCAX3CRL.crl"))	
        || (shExpMatch(host, "dc.services.visualstudio.com"))	
        || (shExpMatch(host, "eus-www.sway-cdn.com"))	
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "graph.skype.com"))
        || (shExpMatch(host, "hybridconfiguration.azurewebsites.net"))  
        || (shExpMatch(host, "isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com"))					
        || (shExpMatch(host, "management.azure.com"))
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "nps.onyx.azure.net"))   
        || (shExpMatch(host, "ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "ocsp.msocsp.com"))     
        || (shExpMatch(host, "ocsp.omniroot.com"))     
        || (shExpMatch(host, "officecdn.microsoft.com.edgesuite.net"))
        || (shExpMatch(host, "officecdn.microsoft.com.edgekey.net"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com"))
        || (shExpMatch(host, "pipe.skype.com"))	
        || (shExpMatch(host, "platform.linkedin.com"))										
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))				
        || (shExpMatch(host, "prod.registrar.skype.com")) 
        || (shExpMatch(host, "prod.tpc.skype.com")) 
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "s-0001.s-msedge.net")) 
        || (shExpMatch(host, "s-0004.s-msedge.net"))   
        || (shExpMatch(host, "s0.assets-yammer.com"))  
        || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "site-cdn.onenote.net"))
        || (shExpMatch(host, "skydrive.wns.windows.com"))
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))		
        || (shExpMatch(host, "ssw.live.com"))
        || (shExpMatch(host, "staffhub.ms))
        || (shExpMatch(host, "staffhub.uservoice.com"))    
        || (shExpMatch(host, "storage.live.com"))				
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))	
        || (shExpMatch(host, "tse1.mm.bing.net"))     
        || (shExpMatch(host, "web.microsoftstream.com"))     
        || (shExpMatch(host, "wus-www.sway-cdn.com"))						
        || (shExpMatch(host, "wus-www.sway-extensions.com"))        
        || (shExpMatch(host, "wu.client.hip.live.com"))     
        || (shExpMatch(host, "www.bing.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com")))



    {
        return proxyserver;
    }

        //Catchall for all other traffic to another proxy

    else return "PROXY 10.10.10.11:8080";
}

Tu je niekoľko nástrojov od členov komunity. Ak ste vytvorili niečo, čo by ste radi zdieľali, dajte nám o tom vedieť v komentároch. Spoločnosť Microsoft oficiálne nepodporuje ani neudržiava žiadny z nástrojov komunity uvedený v tomto článku. Sú tu uvedené len na zjednodušenie vašej práce.

  • Tu nájdete najstarší generovaný nástroj komunity, ktorý slúži na spravovanie procesu. Je to nástroj vytvorený členom komunity používateľov služieb Office 365. Tu nájdete pokyny a súbor na stiahnutie.

  • Overenie konceptu s exportovateľnými pravidlami brány firewall: rozhranie API Microsoft Cloud IP

  • Zdroj: IT Praktyk – pokyny, konverzia RSS a konverzia XML

  • Zdroj: Peter Abele – na stiahnutie

  • Použite analýzu siete na určenie, ktoré sieťové požiadavky by mali obísť vašu infraštruktúru servera proxy. Medzi najbežnejšie názvy FQDN používané na obídenie serverov proxy zákazníkov patria vzhľadom na objem odosielaných a prijímaných sieťových prenosov od týchto koncových bodov tieto:

    outlook.office365.com
    outlook.office.com
    <tenant-name>.sharepoint.com
    <tenant-name>-my.sharepoint.com
    <tenant-name>-<app>.sharepoint.com
    *.Lync.com
    
  • Uistite sa, že všetky sieťové požiadavky odosielané priamo do vašej brány firewall majú zodpovedajúci záznam v zozname povolených brán firewall, aby mohla požiadavka prejsť.

Integrácia nárazníkovej siete

Vedeli ste, že sieť WAN spoločnosti Microsoft je jednou z najväčších chrbticových sietí na svete?

Vďaka tejto rozsiahlej sieti môžete využívať služby Office 365 a naše ďalšie cloudové služby bez ohľadu na to, kde vo svete sa nachádzate. Naša sieť pozostáva zo širokopásmových prepojení, ktoré majú krátke oneskorenie a sú zabezpečené proti zlyhaniu, s tisícmi kilometrov tmavého vlákna súkromných vlastníkov a z multiterabitových spojení medzi údajovými centrami a okrajovými uzlami, čím uľahčujeme používanie našich cloudových služieb.

Neváhajte a pripojte zariadenia svojej organizácie k tejto sieti čo najskôr. Vďaka viac ako 2 500 peeringovým vzťahom s poskytovateľmi internetových služieb na celom svete a 70 prístupovým bodom by ste sa mali bez problémov dostať zo svojej siete do našej. Vyhraďte si niekoľko minút a skontrolujte, či je peeringový vzťah vášho poskytovateľa internetových služieb najoptimálnejší, tu je niekoľko príkladov dobrých a horších odoslaní do našej siete v rámci peeringu.

Zariadenia vo svojej sieti môžete nakonfigurovať na optimálne zvládnutie sieťových požiadaviek aplikácie Office 365 manuálne alebo automaticky v závislosti od vášho vybavenia. Zmeny konfigurácie, ktoré je potrebné vykonať na optimalizáciu sieťového prenosu služieb Office 365, závisia od vášho prostredia. Pre sieťové požiadavky služieb Office 365 môžu byť prínosom konfigurácie siete, ktoré umožňujú nasledovné:

  • Uprednostnenie menej kritického sieťového prenosu.

  • Smerovanie do lokálneho výstupu, vďaka čomu je možné vyhnúť sa pripojeniu backhaul cez pomalé prepojenie WAN a zároveň využiť krátke časové oneskorenie, ktoré je k dispozícii v sieti spoločnosti Microsoft. Tu nájdete dobrú diskusiu založenú na skúsenostiach zákazníkov.

  • Použitie systému DNS blízko miestneho východu na zabezpečenie toho, aby požiadavka siete, ktorá opustí miestny východ, dorazila k najbližšie umiestnenému partnerskému zariadeniu Microsoftu.

  • Vylúčenie z podrobnej kontroly paketov alebo ďalšieho intenzívneho spracovania sieťových paketov s cieľom splnenia požiadaviek na primerané časové oneskorenie.

Moderné sieťové zariadenia zahŕňajú funkcie, ktoré spravujú sieťové požiadavky dôveryhodných aplikácií, ako sú napríklad služby Office 365, inak než požiadavky všeobecných, nedôveryhodných internetových prenosov. So vznikajúcimi riešeniami SD-WAN možno takéto rozlišovanie výberu prenosov a ciest vykonať aj s prihliadnutím na meniaci sa stav siete, ako je časová dostupnosť, oneskorenie alebo výkon rôznych ciest pripojenia medzi používateľom a cloudom.

Ďalšie rady o plánovaní konfigurácie siete nájdete v témach Plánovanie siete a migrácie pre Office 365, Plán na riešenie problémov s výkonom pre Office 365 a Kontrolný zoznam plánovania nasadenia pre Office 365.

Ak chcete implementovať tento scenár:

Informujte sa u svojho poskytovateľa sieťových riešení alebo služieb, či môžu používať definície URL a IP služieb Office 365 z XML na uľahčenie lokálneho (k používateľovi) nízkonákladového sieťového výstupu pre prenosy služieb Office 365, spravovanie ich priority vzhľadom na ostatné aplikácie a nastavenie sieťovej cesty pre pripojenia služieb Office 365 do siete spoločnosti Microsoft v závislosti od meniaceho sa stavu siete. Niektoré riešenia sťahujú a automatizujú definície URL a IP XML služieb Office 365 do svojich balíkov.

Vždy zabezpečte, aby malo implementované riešenie potrebný stupeň odolnosti, primeranú geografickú redundanciu sieťovej cesty pre prenosy služieb Office 365 a zohľadňovalo zmeny publikovaných URL adries a IP služieb Office 365.

Najčastejšie otázky správcov týkajúce sa pripojenia:

Kliknite na prepojenie v dolnej časti a dajte nám vedieť, či vám článok pomohol, prípadne nám odošlite ďalšie otázky. Pripomienky monitorujeme a otázky, ktoré sú tu uvedené, doplníme o tie najčastejšie.

Pri oznámení nových koncových bodov je zvyčajne k dispozícii minimálne 30-dňové prechodné obdobie, kým sa dostanú do platnosti a začnú sa cez ne odosielať sieťové požiadavky. Toto prechodné obdobie slúži na to, aby mali zákazníci a partneri možnosť aktualizovať svoje systémy. Pridávanie a odstraňovanie predpôn názvov FQDN a IP adries sa spracováva v XML súbore v rovnakom čase ako je vydané oznámenie, čo znamená, že nový názov FQDN je v XML súbore uvedený 30 dní pred začatím používania. Keďže sieťové požiadavky prestávame odosielať do koncových bodov, ktoré odstraňujeme, ešte pred oznámením ich odstránenia, pri odstránení koncového bodu z XML súboru v čase vydania oznámenia sa už tieto koncové body nepoužívajú.

Koncové body služieb Office 365 sú publikované na konci každého mesiaca, pričom oznámenie je vydané 30 dní vopred. Niekedy môže k zmenám dôjsť aj viackrát za mesiac, prípadne môže byť čas medzi oznámením a publikovaním kratší. Po pridaní koncového bodu je dátumom účinnosti uvedenom v informačnom kanáli RSS dátum, po ktorom budú sieťové požiadavky odoslané do koncového bodu. Ak s RSS ešte len začínate pracovať, tu je návod, ako sa prihlásiť na odber cez Outlook alebo si môžete novinky informačného kanála RSS nechať posielať e-mailom.

Po prihlásení na odber informačného kanála RSS môžete analyzovať informácie sami alebo pomocou skriptu. V nasledujúcej tabuľke je uvedená pomôcka vo forme opisu formátu informačného kanála RSS.

Sekcia

Časť 1

Časť 2

Časť 3

Časť 4

Časť 5

Časť 6

Popis

Počet

Dátum, po ktorom môžete očakávať odoslanie sieťových požiadaviek do koncového bodu.

Základný popis funkcie alebo služby, ktorá vyžaduje koncový bod.

Dá sa pripojiť k tomuto koncovému bodu okruhu ExpressRoute okrem internetu?

Áno – k tomuto koncovému bodu sa môžete pripojiť cez internet, ako aj ExpressRoute.

Nie – k tomuto koncovému bodu sa môžete pripojiť len na internete.

Cieľový názov FQDN alebo rozsah IP adries, ktoré sa pridávajú alebo odstraňujú.

Príklad

1/

[S účinnosťou od xx/xx/xxx.

Povinné: <description>.

ExpressRoute:

<Yes/No>.

<FQDN/IP>],

Niekoľko ďalších dôležitých informácií – každá položka má spoločnú množinu oddeľovačov:

  • / – po počte

  • [ – na označenie položky pre počet

  • . – používa sa medzi každou jednotlivou sekciou položky

  • ], – na označenie konca jednej položky

  • ]. – na označenie konca všetkých položiek

Polohu nájomníka je najlepšie určiť pomocou mapy údajového centra.

Peeringové lokality sú podrobnejšie opísané v téme Peering so spoločnosťou Microsoft.

Vďaka viac ako 2 500 peeringovým vzťahom s poskytovateľmi internetových služieb na celom svete a 70 prístupovým bodom by ste sa mali bez problémov dostať zo svojej siete do našej. Vyhraďte si niekoľko minút a skontrolujte, či je peeringový vzťah vášho poskytovateľa internetových služieb najoptimálnejší, tu je niekoľko príkladov dobrých a horších odoslaní do našej siete v rámci peeringu.

Akceptované trasy ExpressRoute sú definované rozsahmi IP adries spoločnosti Microsoft a konkrétnymi Office 365BGP komunitami.

Do balíka služieb Office 365 pravidelne pridávame funkcie a služby, čím rozširujeme možnosti pripojenia. Ak máte predplatné na E3 alebo E5 SKU, potrebujete všetky koncové body, inak nie je možné využívať všetky funkcie balíka. Ak nemáte predplatné na žiadnu z jednotiek SKU, rozdiel z hľadiska počtu koncových bodov je minimálny.

Na obrázku nižšie vidíte príklad z časti tabuľky FQDN v sekcii Office Online. Riadky sú usporiadané podľa funkcie a rozdielov v pripojení. Prvé dva riadky označujú, že Office Online využíva koncové body označené ako povinné v službách Office 365 Overovanie a identita a portál a zdieľané sekcie. Pre službu v rámci služieb Office 365 je typické, že využíva tieto zdieľané služby. Tretí riadok označuje, že pre používanie lokality Office Online musia mať klientske počítače prístup k lokalite *. officeapps.live.com. Štvrtý riadok označuje, že pre využívanie lokality Office Online musia mať počítače prístup aj k lokalite *. cdn.office.net.

Napriek tomu, že na používanie lokality Office Online sa vyžaduje riadok tri aj štyri, sú rozdelené, čo označuje odlišný cieľ:

  1. *.officeapps.live.com nepredstavuje CDN, čo znamená, že požiadavky na tento priestor názvov budú smerovať priamo do údajového centra spoločnosti Microsoft.

  2. *.officeapps.live.com je k dispozícii v okruhoch ExpressRoute cez Microsoft Peering.

  3. IP adresy priradené k lokalite Office Online a *.officeapps.live.com môžete nájsť kliknutím na toto prepojenie.

  4. *.cdn.office.net predstavuje CDN hosťované spoločnosťou Akamai, čo znamená, že požiadavky na tento priestor názvov sa odošlú do údajového centra spoločnosti Akamai.

  5. *.cdn.office.net nie je k dispozícii v okruhoch ExpressRoute.

  6. IP adresy priradené k lokalite Office Online a *.cdn.office.net nie sú k dispozícii.

Snímka obrazovky so stránkou s koncovými bodmi

Poskytujeme len IP adresy tých serverov služieb Office 365, do ktorých by ste mali priamo smerovať cez internet alebo službu ExpressRoute. Nejde o úplný zoznam všetkých IP adries, pre ktoré sa zobrazia sieťové požiadavky. Zobrazia sa sieťové požiadavky na spoločnosť Microsoft a nepublikované IP adresy vlastnené tretími stranami. Tieto IP adresy sú dynamicky generované alebo spravované takým spôsobom, ktorý neumožňuje načas oznámiť ich zmeny. Ak brána firewall nemôže týmto sieťovým požiadavkám povoliť prístup na základe názvov FQDN, použite na spravovanie požiadaviek súbor PAC alebo WPAD.

Zobrazuje sa IP adresa priradená k službám Office 365, o ktorej chcete viac informácií?

  1. Skontrolujte, či je daná IP adresa zahrnutá vo väčšom publikovanom rozsahu pomocou kalkulačky CIDR.

  2. Zistite, či je vlastníkom IP adresy váš partner, pomocou dotazu whois. Ak je vlastnená spoločnosťou Microsoft, môže ísť o interného partnera.

  3. Skontrolujte certifikát, v prehliadači sa prostredníctvom adresy HTTPS://<IP_ADDRESS> pripojte k IP adrese a skontrolujte domény uvedené v certifikáte, čím zistíte, ktoré domény sú k IP adrese priradené. Ak je vlastníkom IP adresy spoločnosť Microsoft a adresa sa nenachádza v zozname IP adries služieb Office 365, pravdepodobne je táto IP adresa priradená k Microsoft CDN, napríklad MSOCDN.NET, alebo k inej doméne spoločnosti Microsoft bez zverejnených informácií o IP adrese. Ak zistíte, že doména v certifikáte je doménou, v ktorej by mala byť IP adresa zahrnutá, dajte nám vedieť.

Office 365 a iné služby spoločnosti Microsoft používajú niekoľko služieb tretích strán, ako je napríklad Akamai a MarkMonitor, vďaka ktorým sa zdokonaľuje funkčnosť služieb Office 365. Aby sme vám mohli stále poskytovať čo najlepšie podmienky, tieto služby sa v budúcnosti môžu meniť. Preto často vydávame záznam CNAME, ktorý smeruje na doménu vlastnenú treťou stranou, záznam A alebo IP adresu. Domény tretej strany môžu hosťovať obsah, napríklad sieť CDN, alebo môžu hosťovať službu, napríklad službu spravovania geografických prenosov. Väzby na týchto externých poskytovateľov zvyčajne vidíte v podobe presmerovania alebo odporúčania, nie ako pôvodnú požiadavku klienta. Niektorí zákazníci musia zabezpečiť, že táto forma odporúčania a presmerovania má povolenie na prechod bez explicitného pridania dlhého zoznamu potenciálnych názvov FQDN, ktoré môžu používať tretie strany.

Zoznam služieb sa môže kedykoľvek zmeniť. K aktuálne využívaným službám patria:

MarkMonitor sa používa pri požiadavke, ktorá obsahuje *.nsatc.net. Táto služba poskytuje ochranu názvu domény a jej monitorovanie, čím doménu ochraňuje pred škodlivými praktikami.

ExactTarget sa používa pri požiadavke na *.exacttarget.com. Táto služba poskytuje správu e-mailov a monitorovanie škodlivých praktík.

Akamai sa používa pri požiadavke, ktorá obsahuje jednu z nasledujúcich názvov FQDN. Táto služba ponúka geografické DNS a služby siete na doručovanie obsahu.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

  • Môžete sa pripojiť k službám tretích strán a získať tak základné internetové služby, ako je napríklad vyhľadávanie DNS a načítanie obsahu CDN. K službám tretích strán, ako sú napríklad YouTube videá vo vašich onenotových poznámkových blokoch, sa môžete pripojiť aj vtedy, keď vyžadujete integráciu.

  • Pripojiť sa môžete aj k sekundárnym službám hosťovaným a poskytovaným spoločnosťou Microsoft, ako sú okrajové uzly, na základe ktorých môže vaša sieťová požiadavka v najbližšom internetovom umiestnení k vášmu počítaču vstúpiť do globálnej siete spoločnosť Microsoft. Keďže ide o tretiu najväčšiu sieť na svete, vaše pripojenie sa výrazne zlepší. Môžete sa pripojiť aj k službám Microsoft Azure, ako sú napríklad služby Azure Media Services, ktoré používa viacero služieb Office 365.

  • Rovnako sa môžete pripojiť k primárnym službám Office 365, ako je server poštovej schránky služby Exchange Online alebo server Skype for Business Online, kde sa nachádzajú vaše jedinečné a súkromné údaje. K primárnym službám Office 365 sa môžete pripojiť prostredníctvom FQDN alebo IP adresy a použiť okruhy internetu alebo služby ExpressRoute. Pomocou FQDN v internetovom okruhu sa môžete pripojiť len k službám od tretích strán alebo k sekundárnym službám.

Nasledujúci diagram zobrazuje rozdiely medzi týmito oblasťami služieb. V tomto diagrame sa v lokálnej sieti zákazníka vľavo dole nachádza viacero sieťových zariadení, ktoré poskytujú pomoc pri správe sieťového pripojenia. Podobné konfigurácie sú bežné pre podnikových zákazníkov. Ak vaša sieť používa medzi klientskymi počítačmi a internetom len bránu firewall, aj táto možnosť je podporovaná a možno budete chcieť, aby táto brána firewall v zozname povolených pravidiel podporovala názvy FQDN a zástupné znaky.

Zobrazenie troch rôznych typov koncových bodov siete pri používaní služieb Office 365

Office 365 je balík služieb, ktorý je navrhnutý tak, aby fungoval na internete. Spoľahlivosť a dostupnosť sú založené na viacerých dostupných štandardných internetových službách. Ak chcete používať služby Office 365, musíte mať prístup k štandardným internetovým službám, ako je napríklad DNS, CRL alebo CDN, ktoré sú potrebné pre využívanie väčšiny moderných internetových služieb.

Okrem týchto základných internetových služieb existujú aj služby tretích strán, ktoré sa používajú len na integráciu funkčnosti. Napríklad použitie lokality Giphy.com v službe Microsoft Teams umožňuje zákazníkom jednoducho zahrnúť súbory GIF do tímov. Aj YouTube a Flickr sú služby tretích strán, ktoré slúžia na bezproblémovú integráciu videí a obrázkov z internetu do klientov balíka Office. Tieto služby sú potrebné na integráciu, no v článku o koncových bodoch služieb Office 365 sú označené ako voliteľné, čo znamená, že základné funkcie tejto služby budú fungovať aj vtedy, ak koncový bod nebude prístupný.

Ak sa pokúšate používať služby Office 365 a zistili ste, že služby od tretích strán nie sú prístupné, zabezpečte, aby všetky názvy FQDN označené v tomto článku ako povinné alebo voliteľné mohli prejsť cez server proxy a bránu firewall.

Doplnkové služby sú služby spoločnosti Microsoft, ktoré nie sú súčasťou správy služieb Office 365. Patrí sem napríklad sieť Edge, služby Azure Media Services a siete Azure CDN. Všetky sa vyžadujú na používanie služieb Office 365 a musia byť dostupné.

Ak sa pokúšate používať služby Office 365 a zistili ste, že služby od tretích strán nie sú prístupné, zabezpečte, aby všetky názvy FQDN označené v tomto článku ako povinné alebo voliteľné mohli prejsť cez server proxy a bránu firewall.

Prístup k našim spotrebiteľským službám by ste mali obmedzovať len na vlastné riziko. Jediným spoľahlivým spôsobom zablokovania spotrebiteľských služieb je obmedziť prístup k FQDN lokality login.live.com. Tento názov FQDN sa používa v širokej škále služieb vrátane iných než spotrebiteľských služieb, ako je MSDN, TechNet a ďalšie. Ak obmedzíte prístup k tomuto FQDN, môže sa stať, že bude potrebné do pravidla pre sieťové požiadavky súvisiace s týmito službami zahrnúť výnimky.

Pamätajte, že samotné blokovanie prístupu k spotrebiteľským službám spoločnosti Microsoft nezabráni inému používateľovi vo vašej sieti exfiltrovať informácie pomocou nájomníka služieb Office 365 alebo inej služby.

Pozrite tiež

Rozsahy IP adries dátového centra Microsoft Azure

Priestor verejných IP adries spoločnosti Microsoft

Požiadavky na sieťovú infraštruktúru pre Microsoft Intune

Power BI a ExpressRoute

URL adresy a rozsahy IP adries v Office 365

Spravovanie služby ExpressRoute pre pripojenia služieb Office 365

Rozšírte svoje zručnosti
Preskúmať školenie
Buďte medzi prvými, ktorí získajú nové funkcie
Pridajte sa k insiderom pre Office

Boli tieto informácie užitočné?

Ďakujeme za vaše pripomienky!

Ďakujeme vám za pripomienky. Pravdepodobne vám pomôže, ak vás spojíme s pracovníkom podpory pre Office.

×