Spravovanie služby ExpressRoute pre Office 365 pripojenia

ExpressRoute pre Office 365 ponúka alternatívnu cestu smerovania k dosiahnutiu mnohých služieb Office 365 bez potreby prenosov cez internet. Hoci internetové pripojenie na Office 365 je stále potrebné, osobitné trasy, ktoré Microsoft inzeruje prostredníctvom protokolu BGP do vašej siete, uprednostňujú priamy okruh ExpressRoute, pokiaľ vo vašej sieti nie sú iné konfigurácie. Tri spoločné oblasti, ktoré možno budete chcieť konfigurovať na účely spravovania tohto smerovania, zahŕňajú filtrovanie predpôn, bezpečnosť a dodržiavanie súladu.

Poznámka : Spoločnosť Microsoft zmenila spôsob kontroly domény smerovaní Microsoft peeringu pre Azure ExpressRoute. Od 31. júla 2017 môžu všetci používatelia služby Azure ExpressRoute povoliť Microsoft peering priamo prostredníctvom správcovskej konzoly služby Azure alebo prostredníctvom prostredia PowerShell. Po povolení Microsoft peeringu môže každý zákazník vytvárať filtre trás na prijímanie inzerovaní trás BGP pre aplikácie služby Dynamics 365 Customer Engagement (v minulosti známej pod názvom CRM Online). Zákazníci, ktorí potrebujú Azure ExpressRoute pre Office 365, musia požiadať spoločnosť Microsoft o kontrolu. Až potom budú môcť vytvoriť filtre trás pre Office 365. Ak chcete získať informácie o tom, ako požiadať o kontrolu pred povolením služby ExpressRoute pre Office 365, kontaktujte tím konta Microsoft. Neoprávneným predplatiteľom sa pri pokuse o vytvorenie filtrov trás pre Office 365 zobrazí chybové hlásenie

Filtrovanie predpôn

Spoločnosť Microsoft odporúča, aby zákazníci prijali všetky trasy protokolu BGP tak, ako sú inzerované spoločnosťou Microsoft. Uvedené trasy prechádzajú prísnym revíznym a overovacím procesom a ďalším ich podrobným skúmaním nezískate žiadne výhody. ExpressRoute natívne ponúka odporúčané kontroly, napríklad vlastníctva IP predpôn, integrity a mierky - bez filtrovania prichádzajúcich trás na strane zákazníka.

Ak máte záujem o ďalšie overenie vlastníctva trás v rámci verejného peeringu ExpressRoute, môžete skontrolovať opísané trasy voči zoznamu všetkých IP predpôn IPv4 a IPv6, ktoré predstavujú verejné rozsahy IP adries spoločnosti Microsoft. Tieto rozsahy pokrývajú úplný priestor adries spoločnosti Microsoft a menia sa zriedkakedy. Poskytujú spoľahlivú množinu rozsahov, voči ktorým môžete filtrovať, a ktorá tiež poskytuje lepšiu ochranu pre zákazníkov, ak majú obavy pri súkromných trasách, ktoré nevlastní Microsoft, a ktoré prenikajú do ich prostredia. V prípade, že dôjde k zmene, prejaví sa 1. deň v mesiaci a číslo verzie v časti Podrobnosti na stránke sa zmení vždy, keď sa súbor aktualizuje.

Existuje niekoľko dôvodov, aby sa na generovanie zoznamov predpôn filtrov nepoužívali URL adresy pre Office 365 a rozsahy IP adries. Vrátane týchto:

  • IP predpony Office 365 sa pravidelne a často menia.

  • URL adresy a rozsahy IP adries Office 365 sú určené na správu zoznamu povolených brán firewall a infraštruktúry proxy, nie na smerovanie.

  • URL adresy a rozsahy IP adries Office 365 nezahŕňajú iné služby spoločnosti Microsoft, ktoré môžu byť v rozsahu vašich sieťových pripojení ExpressRoute.

Možnosť

Zložitosť

Kontrola zmien

Prijatie všetkých trás spoločnosti Microsoft

Nízka: Zákazník sa spolieha na kontroly spoločnosti Microsoft a má istotu, že všetky trasy sú správne vlastnené.

Žiadna

Filtrovanie podsietí, ktoré vlastní spoločnosť Microsoft

Stredná: Zákazník implementuje zoznamy súhrnných predpôn filtrov, aby povolil iba trasy vo vlastníctve spoločnosti Microsoft.

Zákazníci musia zaručiť, že zriedkavé aktualizácie sa prejavia vo filtroch trás.

Filtrovanie rozsahov IP adries v Office 365

Upozornenie : Neodporúča sa

Vysoká: Zákazník filtruje trasy založené na definovaných IP predponách v službách Office 365.

Zákazníci musia implementovať proces výkonného riadenia zmien pre mesačné aktualizácie.

Upozornenie : Toto riešenie vyžaduje neustále významné zmeny. Zmeny, ktoré nie sú implementované včas, môžu spôsobiť výpadok služby.

Pripojenie k službám Office 365 pomocou služby Azure ExpressRoute je založené na inzerovaní pomocou protokolu BGP príslušnými podsieťami IP, ktoré reprezentujú siete, kde sú nasadené koncové body služieb Office 365. Dôsledkom globálneho charakteru služieb Office 365 a množstva služieb, ktoré Office 365 tvoria, majú zákazníci často potrebu spravovať inzerovanie prijímané v sieti. Ak máte obavy z počtu predpôn inzerovaných do vášho prostredia, funkcia Komunita BGP umožňuje filtrovať inzerovanie na špecifickú množinu služieb Office 365. Táto funkcia je teraz v ukážke.

Bez ohľadu na to, ako spravujete inzerovania trás BGP prichádzajúcich od spoločnosti Microsoft, nezískate žiadnu špeciálnu pozíciu voči službám Office 365 v porovnaní s pripojením k Office 365 cez samotný internetový okruh. Spoločnosť Microsoft poskytuje rovnaké úrovne zabezpečenia, dodržiavania súladu a výkonu bez ohľadu na typ okruhu, ktorý zákazník používa na pripojenie k Office 365.

Zabezpečenie

Microsoft odporúča udržiavať si vlastnú sieť a kontroly zabezpečenia obvodu pre pripojenia idúce do a z verejnej služby ExpressRoute a Microsoft peering, ktorý obsahuje prepojenia do a zo služieb Office 365. Zabezpečovacie kontroly by mali byť zavedené pre sieťové požiadavky, ktoré odchádzajú z vašej siete do siete spoločnosti Microsoft, ako aj pre požiadavky prichádzajúce zo siete spoločnosti Microsoft do vašej siete.

Požiadavky odchádzajúce od zákazníkov do spoločnosti Microsoft

Keď sa počítače pripájajú k Office 365, pripájajú sa k rovnakej množine koncových bodov bez ohľadu na to, či sa spojenie uskutoční cez internet alebo cez okruh ExpressRoute. Bez ohľadu na použitý okruh spoločnosť Microsoft odporúča, aby ste narábali so službami Office 365 ako dôveryhodnejšími, než sú všeobecné internetové ciele. Odchádzajúce zabezpečovacie kontroly by sa mali zamerať na porty a protokoly s cieľom znížiť riziko a minimalizovať nepretržitú údržbu. Požadované informácie o portoch sú k dispozícii v referenčnom článku Koncové body služieb Office 365.

Pre pridané zabezpečovacie kontroly môžete použiť úroveň filtrovania FQDN v rámci infraštruktúry servera proxy a obmedziť alebo kontrolovať niektoré alebo všetky sieťové požiadavky, ktoré sú určené pre internet alebo Office 365. Udržiavanie zoznamu FQDN pri vydávaní funkcií a vyvíjaní ponúk Office 365 vyžaduje výkonnejšiu správu zmien a sledovanie zmien na publikovaných koncových bodoch služieb Office 365.

Upozornenie : Spoločnosť Microsoft odporúča nespoliehať sa pri správe zabezpečenia požiadaviek odchádzajúcich do Office 365 iba na IP predpony

Možnosť

Zložitosť

Kontrola zmien

Bez obmedzení

Nízka: Zákazník umožňuje neobmedzený prístup odchádzajúcich požiadaviek do spoločnosti Microsoft.

Žiadna

Obmedzenia portov

Nízka: Zákazník obmedzuje prístup odchádzajúcich požiadaviek do spoločnosti Microsoft pomocou očakávaných portov.

Zriedkavá.

Obmedzenia FQDN

Vysoká: Zákazník obmedzuje prístup odchádzajúcich požiadaviek k službám Office 365 na základe na publikovaných názvov FQDN.

Mesačné zmeny.

Požiadavky prichádzajúce k zákazníkovi od spoločnosti Microsoft

Existuje niekoľko voliteľných scenárov, ktoré vyžadujú, aby spoločnosť Microsoft iniciovala pripojenie k vašej sieti.

Spoločnosť Microsoft odporúča, aby ste na zníženie zložitosti akceptovali tieto pripojenia cez váš internetový okruh namiesto okruhu ExpressRoute. Ak si dodržiavanie súladu alebo výkonu vyžaduje, aby tieto prichádzajúce pripojenia boli akceptované cez okruh ExpressRoute, na vymedzenie akceptovaných pripojení sa odporúča použitie brány firewall alebo reverzného servera proxy. Môžete použiť koncové body služieb Office 365 a určiť správne FQDN a IP predpony.

Dodržiavanie súladu

Pri žiadnej z našich kontrol dodržiavania súladu sa nespoliehame na cestu smerovania, ktorú používate. Bez ohľadu na to, či sa k službám Office 365 pripájate cez okruh ExpressRoute alebo cez internetový okruh, naše kontroly dodržiavania súladu sa nezmenia. Mali by ste skontrolovať rozdielne úrovne certifikácie dodržiavania súladu a zabezpečenia pre služby Office 365 a zistiť najlepšiu voľbu pre potreby vašej organizácie.

Tu je krátke prepojenie, pomocou ktorého sa môžete vrátiť: https://aka.ms/manageexpressroute365

Súvisiace témy

Siete na doručovanie obsahu
URL adresy a rozsahy IP adries pre Office 365
Spravovanie koncových bodov služieb Office 365
Školenie pre Azure ExpressRoute pre Office 365

Rozšírte svoje zručnosti
Preskúmať školenie
Buďte medzi prvými, ktorí získajú nové funkcie
Pridajte sa k insiderom pre Office

Boli tieto informácie užitočné?

Ďakujeme za vaše pripomienky!

Ďakujeme vám za pripomienky. Pravdepodobne vám pomôže, ak vás spojíme s pracovníkom podpory pre Office.

×