Hantera ExpressRoute för Office 365-anslutning

ExpressRoute för Office 365 erbjuder en alternativ routningssökväg för att nå många Office 365-tjänster utan att all trafik måste utgå till Internet. Även om Internetanslutningen till Office 365 fortfarande behövs gör de specifika vägar som Microsoft annonserar via BGP till ditt nätverk att den direkta ExpressRoute-kretsen prioriteras såvida det inte finns andra konfigurationer i nätverket. De tre vanligaste områdena du kanske vill konfigurera för att hantera den här dirigeringen inkluderar prefixfiltrering, säkerhet och efterlevnad.

Obs!: Microsoft har ändrat hur routningsdomänen för Microsoft-peering granskas för Azure ExpressRoute. Från den 31 juli 2017 kan alla Azure ExpressRoute-kunder aktivera Microsoft-peering direkt via Azure-administrationskonsolen eller via PowerShell. Efter att ha aktiverat Microsoft-peering kan alla kunder skapa routningsfilter för att ta emot BGP-routningsmeddelanden för Dynamics 365 Customer Engagement-appar (tidigare kallat CRM Online). Kunder som behöver Azure ExpressRoute för Office 365 måste granskas av Microsoft innan de kan skapa routningsfilter för Office 365. Kontakta ditt Microsoft-kontoteam om du vill ha information om hur du begär en granskning för att aktivera Office 365 ExpressRoute. Obehöriga prenumerationer som försöker skapa routningsfilter för Office 365 får ett felmeddelande

Prefixfiltrering

Microsoft rekommenderar att kunderna accepterar alla BGP-vägar som de annonseras från Microsoft. De erbjudna vägarna genomgår en mycket noggrann gransknings- och valideringsprocess som innebär att extra granskning inte behövs. De rekommenderade kontrollerna, t.ex. IP-prefixägarskap, integritet och skal, är inbyggda i ExpressRoute – utan filtrering av inkommande vägar på kundsidan.

Om du kräver ytterligare validering av vägägarskapet i ExpressRoutes offentliga peering kan du kontrollera de annonserade vägarna mot listan över alla IPv4- och IPv6-IP-prefix som representerar Microsofts offentliga IP-intervall. Intervallen omfattar hela Microsofts adressutrymme och ändras så sällan som möjligt, vilket ger en tillförlitlig uppsättning intervaller att filtrera mot som även ger ytterligare skydd åt kunder som är oroliga att vägar som inte tillhör Microsoft ska läcka in i deras miljö. Om det sker en ändring görs den den 1:e i månaden, och versionsnumret i informationsavsnittet på sidan ändras varje gång filen uppdateras.

Det finns ett antal olika skäl till att undvika att använda URL:er och IP-adressintervall för Office 365 för att generera prefixfilterlistor. Till exempel:

  • IP-prefixen i Office 365 genomgår regelbundet många ändringar.

  • URL:erna och IP-adressintervallen för Office 365 är utformade för att hantera listor över tillåtna brandväggar och proxyinfrastruktur, inte routning.

  • URL:er och IP-adressintervall för Office 365 omfattar inte andra Microsoft-tjänster som kanske ingår i dina ExpressRoute-anslutningar.

Alternativ

Komplexitet

Kontroll vid ändring

Acceptera alla Microsoft-vägar

Låg: Kunden använder sig av Microsoft-kontroller för att säkerställa att alla vägar har rätt ägare.

Ingen

Filtrera supernät som ägs av Microsoft

Medel: Kunden implementerar översiktliga prefixfilterlistor så att endast vägar som ägs av Microsoft tillåts.

Kunderna måste säkerställa att de oregelbundna uppdateringarna återspeglas i filtren.

Filtrera IP-intervall för Office 365

Varning: Rekommenderas inte

Hög: Kunden filtrerar vägar baserat på definierade IP-prefix för Office 365.

Kunderna måste implementera en stabil hanteringsprocess för ändringar för de månadsvisa uppdateringarna.

Varning!: Den här lösningen kräver betydande fortlöpande ändringar. Ändringar som inte implementeras i tid kommer troligtvis att resultera i driftstörningar i tjänsten.

Anslutningen till Office 365 med hjälp av Azure ExpressRoute baseras på BGP-information om särskilda IP-undernät som representerar nätverk där Office 365-slutpunkter distribueras. På grund av den globala naturen hos Office 365 och antalet tjänster som utgör Office 365 behöver kunder ofta hantera de annonseringar som de accepterar på sitt nätverk. Om du känner oro inför antalet prefix som annonseras i din miljö kan du använda funktionen BGP community för att filtrera annonserna till en särskild uppsättning Office 365-tjänster. Den här funktionen finns nu i en förhandsversion.

Oavsett hur du hanterar BGP-routningsannonseringarna från Microsoft får du inte någon särskild exponering för Office 365-tjänster jämfört med vid anslutning till Office 365 över enbart en internetkrets. Microsoft håller samma säkerhets-, efterlevnads- och prestandanivåer oavsett vilken typ av krets en kund använder sig av för att ansluta till Office 365.

Säkerhet

Microsoft rekommenderar att du har egna nätverks- och säkerhetsperimeterkontroller för anslutningar till och från ExpressRoute offentligt och Microsoft-peering, vilket omfattar anslutningar till och från Office 365-tjänster. Du bör ha säkerhetskontroller för nätverksbegäranden som utgår från ditt nätverk till Microsofts nätverk samt inkommer från Microsofts nätverk till ditt nätverk.

Utgående från kund till Microsoft

När datorer ansluter till Office 365 ansluter de till samma uppsättning slutpunkter oavsett om anslutningen görs över en Internetkrets eller en ExpressRoute-krets. Oavsett vilken krets som används rekommenderar Microsoft att du behandlar Office 365-tjänster som mer tillförlitliga än allmänna Internetdestinationer. Dina säkerhetskontroller för utgående trafik bör vara fokuserade på portar och protokoll för att minska exponeringen och minimera det fortlöpande underhållet. Den portinformation som krävs finns i referensartikeln om Office 365-slutpunkterna.

För ytterligare kontroller kan du använda filtrering på FQDN-nivån i din proxyinfrastruktur för att begränsa eller kontrollera vissa eller alla nätverksbegäranden till Internet eller Office 365. Underhållet av listan över FQDN allteftersom funktioner görs tillgängliga och Office 365-erbjudandena utvecklas kräver stabilare ändringshantering och spårning av ändringar i de publicerade Office 365-slutpunkterna.

Varning: Microsoft rekommenderar att du inte enbart använder IP-prefix för att hantera säkerhet för utgående trafik i Office 365

Alternativ

Komplexitet

Kontroll vid ändring

Inga begränsningar

Låg: Kunden ger obegränsad utgående åtkomst till Microsoft.

Ingen

Portbegränsningar

Låg: Kunden begränsar utgående åtkomst till Microsoft genom de förväntade portarna.

Sällan förekommande.

FQDN-begränsningar

Hög: Kunden begränsar utgående åtkomst till Office 365 baserat på de publicerade FQDN.

Månadsvisa ändringar.

Inkommande från Microsoft till kund

Det finns flera valfria scenarier som kräver att Microsoft initierar anslutningar till ditt nätverk.

Microsoft rekommenderar att du godkänner de här anslutningarna över Internetkretsen i stället för över ExpressRoute-kretsen för att minska komplexiteten. Om din efterlevnad eller prestanda kräver diktering måste de här inkommande anslutningarna godkännas över en ExpressRoute-krets. Microsoft rekommenderar att du använder en brandvägg eller omvänd proxy för att leta efter de godkända anslutningarna. Du kan använda Office 365-slutpunkterna för att ta reda på de rätta FQDN och IP-prefixen.

Efterlevnad

Vi förlitar oss inte på den routningssökväg du använder för våra efterlevnadskontroller. Oavsett om du ansluter till Office 365-tjänster över en ExpressRoute-krets eller internetkrets ändras inte våra efterlevnadskontroller. Du bör granska de olika efterlevnads- och säkerhetscertifieringsnivåerna för Office 365 för att avgöra vilket alternativ som bäst uppfyller organisationens behov.

Här är en kort länk som du kan använda för att komma tillbaka: https://aka.ms/manageexpressroute365

Närliggande avsnitt

Nätverk för innehållsleverans
URL-adresser och IP-adressintervall för Office 365
Hantera Office 365-slutpunkter
Utbildning för Azure ExpressRoute för Office 365

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Office Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×