Керування кінцевими точками Office 365

Мережеве підключення до Office 365

04.10.2017. Підключення до Office 365 складаються з численних довірених мережевих запитів, які найкраще виконуються через близьку до користувача вихідну точку з низькою затримкою. Деякі підключення до Office 365 можна оптимізувати.

  1. Переконайтеся, що ваш брандмауер дозволяє пряме підключення до кінцевих точок Office 365.

  2. Використовуйте інфраструктуру проксі-сервера, щоб дозволити інтернет-підключення до неопублікованих кінцевих вузлів і мереж зі зворотними масками.

  3. Підтримуйте оптимальну конфігурацію периметра мережі.

Підключення до Office 365 через брандмауери та проксі-сервери.

Оновлення вихідних списків довірених брандмауера

Ви можете оптимізувати свою мережу, надсилаючи всі довірені мережеві запити Office 365 безпосередньо через брандмауер і обходячи при цьому всі додаткові перевірки або обробки пакетного рівня. Це зменшить негативний вплив на продуктивність через затримку й вимоги до пропускної спроможності периметра. Найпростіший спосіб вибрати довірені мережеві запити – скористатися готовими PAC-файлами, які можна знайти на вкладці Проксі-сервери вище.

Якщо брандмауер блокує вихідний трафік, переконайтеся, що всі IP-адреси й імена FQDN, наведені в цьому XML-файлі як обов’язкові, додано до списку довірених. Визначте всі служби, для яких потрібно використовувати сторонні служби. Ми не надаємо IP-адреси для сторонніх служб, як-от постачальників сертифікатів, мереж доставки вмісту, постачальників DNS тощо. Щоб забезпечити всі можливості Office 365, потрібно встановити зв’язок зі всіма кінцевими вузлами відповідно до вимог Office 365, незалежно від обсягу опублікованої про них інформації.

Більшість кінцевих вузлів не мають опублікованої IP-адреси, і їх указано як домени із сертифікатом Wildcard без повного доменного імені. Щоб використовувати ці функції, потрібно мати змогу зіставляти такі мережеві запити із запитаною IP-адреси й надсилати їх через Інтернет.

Автоматизуйте процес за допомогою брандмауера, який аналізує файл XML від вашого імені й автоматично оновлює правила на основі даних про служби або функції, які ви плануєте спрямувати безпосередньо через брандмауер. Крім того, ви можете скористатися створеним спільнотою інструментом Azure Range, який аналізує XML і дає змогу експортувати дані у форматі конфігурації списку ACL або Cisco XE Route, звичайного тексту чи CSV.

Розгорнуте пояснення мережевих призначень див. на нашому довідковому сайті, а також у журналі змін на основі RSS, де ви могли підписатися на зміни.

Настроювання вихідних шляхів за допомогою PAC-файлів

Використовуйте файли PAC або WPAD, щоб керувати мережевими запитами, пов’язаними з Office 365, для яких не надано IP-адреси. Зазвичай мережеві запити, надіслані через проксі-сервер або пристрій периметра, спричиняють додаткову затримку. Автентифікація на проксі-сервері зумовлює найбільшу затримку, однак інші служби, як-от пошук репутації та перевірка пакетів, можуть погіршувати умови роботи користувача. Крім того, щоб обробити всі мережеві запити, таким пристроям периметра потрібно достатньо пропускної здатності. Радимо обходити проксі-сервер або інфраструктуру перевірки для прямих мережевих запитів Office 365.

За допомогою одного з наших PAC-файлів визначте, скільки мережевого трафіку надсилається на проксі-сервер, а скільки – до брандмауера. Щоб дізнатися більше про файли PAC або WPAD, прочитайте цей допис одного з консультантів Office 365 про розгортання PAC-файлів. Візьміть ці дані за основу та пристосуйте їх відповідно до власних потреб.

PAC-файли оновлено 4 жовтня 2017 р.

У першому прикладі показано рекомендований спосіб керування кінцевими точками лише через Інтернет. Це дає змогу обійти проксі-сервер місць призначення Office 365 з опублікованою IP-адресою й надсилати мережеві запити, що залишилися, через проксі-сервер.

Фрагмент коду:

// JavaScript source code

November2017 - Updates go live 1st Dec2017
//This PAC file contains all FQDNs needed for all services and splits the traffic between those which Microsoft can provide IPs for (so can be sent through a managed firewall with conditional access) and those which IPs cannot be provided for, so need to go to an unrestricted proxy or egress. 
//Due to the use of wildcards, some extra logic is provided to send traffic to the proxy before a 'direct' wildcard is hit.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    var proxyserver2 = "PROXY 10.10.10.11:8080"
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    //Catch explicit FQDNs which need the proxy but are covered under wildcarded FQDNs which have IPs. This has to be done first before the wildcard is hit

    if ((shExpMatch(host, "browser.pipe.aria.microsoft.com")) 
        || (shExpMatch(host, "compliance.outlook.com"))       
        || (shExpMatch(host, "mobile.pipe.aria.microsoft.com"))
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "r1.res.office365.com")) 
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "r3.res.outlook.com"))
        || (shExpMatch(host, "xsi.outlook.com")))

    {
        return proxyserver;
    }
        //Send FQDNs which Microsoft provide IPs for direct, so they can be sent via a firewall

    else if ((isPlainHostName(host))
    || (shExpMatch(host, "*.asm.skype.com"))
    || (shExpMatch(host, "*.broadcast.skype.com"))
    || (shExpMatch(host, "*.cc.skype.com"))
    || (shExpMatch(host, "*.config.skype.com"))
    || (shExpMatch(host, "*.conv.skype.com"))
    || (shExpMatch(host, "*.dc.trouter.io"))
    || (shExpMatch(host, "*.infra.lync.com"))
    || (shExpMatch(host, "*.lync.com"))
    || (shExpMatch(host, "*.msg.skype.com"))
    || (shExpMatch(host, "*.office365.com"))
    || (shExpMatch(host, "*.outlook.com"))
    || (shExpMatch(host, "*.outlook.office.com"))
    || (shExpMatch(host, "*.pipe.aria.microsoft.com"))
    || (shExpMatch(host, "*.pipe.skype.com"))
    || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
    || (shExpMatch(host, "*.protection.office.com"))
    || (shExpMatch(host, "*.sharepoint.com"))
    || (shExpMatch(host, "*.skypeforbusiness.com"))
    || (shExpMatch(host, "*.svc.ms"))
    || (shExpMatch(host, "*.teams.microsoft.com"))
    || (shExpMatch(host, "*.teams.skype.com"))
    || (shExpMatch(host, "*.yammer.com"))
    || (shExpMatch(host, "*.yammerusercontent.com"))
    || (shExpMatch(host, "*broadcast.officeapps.live.com"))
    || (shExpMatch(host, "*excel.officeapps.live.com"))
    || (shExpMatch(host, "*onenote.officeapps.live.com"))
    || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
    || (shExpMatch(host, "*view.officeapps.live.com"))
    || (shExpMatch(host, "*visio.officeapps.live.com"))
    || (shExpMatch(host, "*word-edit.officeapps.live.com"))
    || (shExpMatch(host, "*word-view.officeapps.live.com"))    
    || (shExpMatch(host, "account.office.net"))
    || (shExpMatch(host, "adminwebservice.microsoftonline.com"))
    || (shExpMatch(host, "agent.office.net"))
    || (shExpMatch(host, "apc.delve.office.com"))
    || (shExpMatch(host, "api.login.microsoftonline.com"))
    || (shExpMatch(host, "aus.delve.office.com"))
    || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))    
    || (shExpMatch(host, "can.delve.office.com"))
    || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
    || (shExpMatch(host, "ccs.login.microsoftonline.com"))
    || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
    || (shExpMatch(host, "clientlog.portal.office.com"))
    || (shExpMatch(host, "config.edge.skype.com"))
    || (shExpMatch(host, "controls.office.com"))
    || (shExpMatch(host, "cus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "delve.office.com"))
    || (shExpMatch(host, "device.login.microsoftonline.com"))    
    || (shExpMatch(host, "ea-000.tasks.osi.office.net"))
    || (shExpMatch(host, "eus-zzz.tasks.osi.office.net"))
    || (shExpMatch(host, "gbr.delve.office.com"))
    || (shExpMatch(host, "hip.microsoftonline-p.net"))
    || (shExpMatch(host, "hipservice.microsoftonline.com"))
    || (shExpMatch(host, "home.office.com"))
    || (shExpMatch(host, "ind.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "kor.delve.office.com"))
    || (shExpMatch(host, "lam.delve.office.com"))
    || (shExpMatch(host, "login.microsoft.com"))
    || (shExpMatch(host, "login.microsoftonline.com"))
    || (shExpMatch(host, "login.microsoftonline-p.com"))
    || (shExpMatch(host, "login.windows.net"))
    || (shExpMatch(host, "logincert.microsoftonline.com"))
    || (shExpMatch(host, "loginex.microsoftonline.com"))
    || (shExpMatch(host, "login-us.microsoftonline.com"))     
    || (shExpMatch(host, "nam.delve.office.com"))
    || (shExpMatch(host, "neu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "nexus.microsoftonline-p.com"))
    || (shExpMatch(host, "nexus.officeapps.live.com"))
    || (shExpMatch(host, "nexusrules.officeapps.live.com"))
    || (shExpMatch(host, "office.live.com")) 
    || (shExpMatch(host, "pipe.skype.com"))
    || (shExpMatch(host, "portal.microsoftonline.com"))
    || (shExpMatch(host, "portal.office.com"))
    || (shExpMatch(host, "prod.registrar.skype.com"))
    || (shExpMatch(host, "prod.tpc.skype.com"))
    || (shExpMatch(host, "provisioningapi.microsoftonline.com"))
    || (shExpMatch(host, "s-0001.s-msedge.net"))
    || (shExpMatch(host, "s-0004.s-msedge.net"))
    || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net"))   
    || (shExpMatch(host, "sea-000.tasks.osi.office.net"))    
    || (shExpMatch(host, "signup.microsoft.com"))
    || (shExpMatch(host, "stamp2.login.microsoftonline.com"))
    || (shExpMatch(host, "suite.office.net"))    
    || (shExpMatch(host, "tasks.office.com"))
    || (shExpMatch(host, "teams.microsoft.com"))
    || (shExpMatch(host, "testconnectivity.microsoft.com"))
    || (shExpMatch(host, "weu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "wus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "www.office.com"))
    || (shExpMatch(host, "www.sway.com")))
      
    {
        return "DIRECT";
    }
    else

        // Send all unknown IP traffic to Proxy for unrestricted access. This section is not necessary if you have a catchall for all other traffic to go to an unfiltered proxy. 
        //However the fqdns required, but for which we dont have IPs for, are listed here incase you need an explicit list.

    if ((shExpMatch(host, "*.aadrm.com")) 
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "*.adhybridhealth.azure.com"))    
        || (shExpMatch(host, "*.api.microsoftstream.com"))   
        || (shExpMatch(host, "*.api.skype.com"))
        || (shExpMatch(host, "*.assets-yammer.com"))   
        || (shExpMatch(host, "*.azurerms.com")) 
        || (shExpMatch(host, "*.azureedge.net"))            
        || (shExpMatch(host, "*.cloudapp.net")) 
        || (shExpMatch(host, "*.entrust.net")) 
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.helpshift.com"))   
        || (shExpMatch(host, "*.hockeyapp.net"))    
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    
        || (shExpMatch(host, "*.microsoft.com"))
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))
        || (shExpMatch(host, "*.msedge.net"))      
        || (shExpMatch(host, "*.msocdn.com"))   
        || (shExpMatch(host, "*.office.com"))   
        || (shExpMatch(host, "*.office.net")) 
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.secure.skypeassets.com"))  
        || (shExpMatch(host, "*.sfbassets.com"))
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))     
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))
        || (shExpMatch(host, "*.windows.net"))
        || (shExpMatch(host, "ad.atdmt.com")) 
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "ajax.aspnetcdn.com")) 
        || (shExpMatch(host, "aka.ms"))
        || (shExpMatch(host, "amp.azure.net")) 
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "broadcast.skype.com")) 
        || (shExpMatch(host, "cacerts.digicert.com"))        
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "compliance.outlook.com"))   
        || (shExpMatch(host, "connect.facebook.net"))        
        || (shExpMatch(host, "crl.globalsign.com"))
        || (shExpMatch(host, "crl3.digicert.com"))  
        || (shExpMatch(host, "crl4.digicert.com")) 
        || (shExpMatch(host, "dc.services.visualstudio.com")) 
        || (shExpMatch(host, "domains.live.com"))
        || (shExpMatch(host, "ecn.dev.virtualearth.net "))   
        || (shExpMatch(host, "eus-www.sway-cdn.com"))
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "eur.delve.office.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "firstpartyapps.oaspapps.com")) 
        || (shExpMatch(host, "graph.skype.com"))   
        || (shExpMatch(host, "groupsapi2-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi3-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi4-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi-prod.outlookgroups.ms")) 
        || (shExpMatch(host, "latest-swx.cdn.skype.com")) 
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com")) 
        || (shExpMatch(host, "management.azure.com"))        
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "ocsp.globalsign.com"))
        || (shExpMatch(host, "ocsp.msocsp.com"))       
        || (shExpMatch(host, "ocsp2.globalsign.com"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com")) 
        || (shExpMatch(host, "pipe.skype.com")) 
        || (shExpMatch(host, "platform.linkedin.com"))
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))
        || (shExpMatch(host, "prod.firstpartyapps.oaspapps.com.akadns.net")) 
        || (shExpMatch(host, "r1.res.office365.com"))
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "s.ytimg.com")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "secure.aadcdn.microsoftonline-p.com"))
        || (shExpMatch(host, "secure.globalsign.com")) 
        || (shExpMatch(host, "site-cdn.onenote.net")) 
        || (shExpMatch(host, "skydrive.wns.windows.com")) 
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))   
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))  
        || (shExpMatch(host, "staffhub.ms"))
        || (shExpMatch(host, "staffhub.uservoice.com")) 
        || (shExpMatch(host, "sway.com"))              
        || (shExpMatch(host, "swx.cdn.skype.com"))  
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))         
        || (shExpMatch(host, "telemetryservice.firstpartyapps.oaspapps.com"))    
        || (shExpMatch(host, "web.microsoftstream.com"))         
        || (shExpMatch(host, "wus-firstpartyapps.oaspapps.com"))  
        || (shExpMatch(host, "wus-www.sway-cdn.com"))
        || (shExpMatch(host, "wus-www.sway-extensions.com"))   
        || (shExpMatch(host, "xsi.outlook.com"))
        || (shExpMatch(url, "http://apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(url, "http://cert.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://crl.identrust.com/DSTROOTCAX3CRL.crl"))
        || (shExpMatch(url, "http://isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(url, "http://ocsp.digicert.com"))
        || (shExpMatch(url, "http://ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://ocsp.msocsp.com"))
        || (shExpMatch(url, "http://ocspx.digicert.com"))   
        || (shExpMatch(url, "https://assets.onestore.ms/cdnfiles/external/"))   
        || (shExpMatch(url, "https://cdn.optimizely.com/js/"))  
        || (shExpMatch(url, "https://nps.onyx.azure.net"))
        || (shExpMatch(url, "https://web.localytics.com/v3/localytics.js"))  
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertGlobalRootCA.crt"))
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertHighAssuranceEVRootCA.crt"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com"))
        || (shExpMatch(host, "www.youtube.com")))
        

    {
        return proxyserver;
    }

    //Catchall for all other traffic to another proxy 

else return proxyserver;
}

У другому прикладі показано рекомендований спосіб керування підключеннями через доступні канали ExpressRoute та Інтернет. Це дає змогу надсилати мережеві запити до місць призначення, які оголошуються в ExpressRout, через канал ExpressRoute, а до місць призначення, які оголошуються в Інтернеті, – через проксі-сервер.

Фрагмент коду:

// JavaScript source code
//November2017 Update
// Consolidated FQDNs of URLS which are reachable via Microsoft peering over ExpressRoute. All other traffic sent to a proxy in this example. 
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your traffic flow needs and the Office 365 URL & IP page. 
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;
    //SUB-FQDNs of ExpressRoutable wildcards which need to be explicitly sent to the proxy at the top of the PAC because they arent ER routable
    if ((shExpMatch(host, "*.click.email.microsoftonline.com"))
        || (shExpMatch(host, "*.portal.microsoftonline.com")))					
    {
        return proxyserver;
    }
        //EXPRESS ROUTE DIRECT
    else if ((isPlainHostName(host))
            || (shExpMatch(host, "*.asm.skype.com"))
            || (shExpMatch(host, "*broadcast.officeapps.live.com"))
            || (shExpMatch(host, "*.cc.skype.com"))
            || (shExpMatch(host, "*.config.skype.com"))    
            || (shExpMatch(host, "*.conv.skype.com"))
            || (shExpMatch(host, "*.dc.trouter.io"))
            || (shExpMatch(host, "*excel.officeapps.live.com"))
            || (shExpMatch(host, "*.lync.com"))	
            || (shExpMatch(host, "*.microsoftonline.com"))
            || (shExpMatch(host, "*.msg.skype.com"))
            || (shExpMatch(host, "*onenote.officeapps.live.com"))
            || (shExpMatch(host, "*.outlook.office.com"))
            || (shExpMatch(host, "*.pipe.skype.com")) 
            || (shExpMatch(host, "*.pipe.aria.microsoft.com")) 
            || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
            || (shExpMatch(host, "*.protection.office.com"))
            || (shExpMatch(host, "*.protection.outlook.com"))						
            || (shExpMatch(host, "*.sharepoint.com")) 
            || (shExpMatch(host, "*.skypeforbusiness.com")) 
            || (shExpMatch(host, "*.svc.ms"))   
            || (shExpMatch(host, "*.teams.microsoft.com"))  
            || (shExpMatch(host, "*.teams.skype.com"))  
            || (shExpMatch(host, "*view.officeapps.live.com"))                                 
            || (shExpMatch(host, "*visio.officeapps.live.com"))
            || (shExpMatch(host, "*word-view.officeapps.live.com"))
            || (shExpMatch(host, "*word-edit.officeapps.live.com"))	
            || (shExpMatch(host, "autodiscover-*.outlook.com"))				
            || (shExpMatch(host, "apc.delve.office.com"))
            || (shExpMatch(host, "aus.delve.office.com"))
            || (shExpMatch(host, "account.office.net"))
            || (shExpMatch(host, "agent.office.net"))  
            || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))  
            || (shExpMatch(host, "can.delve.office.com")) 
            || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
            || (shExpMatch(host, "ccs.login.microsoftonline.com"))  
            || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
            || (shExpMatch(host, "config.edge.skype.com"))
            || (shExpMatch(host, "delve.office.com"))
            || (shExpMatch(host, "domains.live.com")) 
            || (shExpMatch(host, "eur.delve.office.com"))
            || (shExpMatch(host, "gbr.delve.office.com"))
            || (shExpMatch(host, "hip.microsoftonline-p.net"))
            || (shExpMatch(host, "home.office.com"))
            || (shExpMatch(host, "ind.delve.office.com"))
            || (shExpMatch(host, "jpn.delve.office.com"))
            || (shExpMatch(host, "kor.delve.office.com"))
            || (shExpMatch(host, "lam.delve.office.com"))
            || (shExpMatch(host, "login.microsoftonline-p.net"))				
            || (shExpMatch(host, "login.windows.net"))						
            || (shExpMatch(host, "login.microsoft.com"))
            || (shExpMatch(host, "nam.delve.office.com"))
            || (shExpMatch(host, "nexus.microsoftonline-p.net"))
            || (shExpMatch(host, "office.live.com")) 
            || (shExpMatch(host, "outlook.office365.com")) 
            || (shExpMatch(host, "pipe.skype.com"))	
            || (shExpMatch(host, "portal.office.com"))
            || (shExpMatch(host, "prod.registrar.skype.com"))
            || (shExpMatch(host, "prod.tpc.skype.com"))
            || (shExpMatch(host, "s-0001.s-msedge.net"))
            || (shExpMatch(host, "s-0004.s-msedge.net"))
            || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net"))
            || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net"))  
            || (shExpMatch(host, "signup.microsoft.com"))
            || (shExpMatch(host, "smtp.office365.com"))  
            || (shExpMatch(host, "suite.office.net")) 
            || (shExpMatch(host, "teams.microsoft.com"))  
            || (shExpMatch(host, "www.outlook.com"))   						
            || (shExpMatch(host, "www.office.com")))



       
    {
        return "DIRECT";
    }

        // If Azure public peering is available the following can be added to the Expressroute section above and sent direct via ER. If not these can be sent via the internet i.e delete them from the PAC file.
       
        //*.adhybridhealth.azure.com
        //*.cloudapp.net
        //*.blob.core.windows.net
        //*.hybridconfiguration.azurewebsites.net
        //*.keydelivery.mediaservices.windows.net
        //*.queue.core.windows.net
        //*.servicebus.windows.net - Port: 5671 (If 5671 is blocked, agent falls back to 443, but using 5671 is recommended.)
        //*.store.core.windows.net
        //*.streaming.mediaservices.windows.net
        //*.table.core.windows.net
        //compliance.outlook.com
        //dc.services.visualstudio.com
        //equivio.office.com
        //equivioprod*.cloudapp.net
        //hybridconfiguration.azurewebsites.net
        //liverdcxstorage.blob.core.windowsazure.com//
        //management.azure.com
        //mshrcstorageprod.blob.core.windows.net
        //office365servicehealthcommunications.cloudapp.net
        //office365zoom.cloudapp.net
        //policykeyservice.dc.ad.msft.net
        //protection.office.com
        //secure.aadcdn.microsoftonline-p.com
        //telemetry.remoteapp.windowsazure.com
        //vortex.data.microsoft.com
        //www.remoteapp.windowsazure.com
        //zoom-cs-prod*.cloudapp.net



        //Catchall for all other traffic to proxy
    else
    {
        return proxyserver;
    }
}

У третьому прикладі показано надсилання всіх мережевих запитів, зв’язаних з Office 365, до одного місця призначення. Це дає змогу обійти всі перевірки мережевих запитів Office 365, а всі опубліковані кінцеві точки додаються до списку у форматі PAC, який можна використовувати в процесі налаштування.

Фрагмент коду:

// JavaScript source code
//November 2017 Update new URLS go live 1st Dec2017 - Some URLs may have been removed from this file from previous versions as they are no longer required.
//Consolidated FQDNs required to access Office 365 - All services including optional components covered and elements covered under wildcards removed. 
//Some repeated domains have been consoliodated into unpublished wildcards in order to keep the file as small as possible.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    if ((shExpMatch(host, "*.adhybridhealth.azure.com"))
        || (shExpMatch(host, "*.api.microsoftstream.com"))  
        || (shExpMatch(host, "*.api.skype.com"))  
        || (shExpMatch(host, "*.asm.skype.com"))     
        || (shExpMatch(host, "*.assets-yammer.com"))
        || (shExpMatch(host, "*.azureedge.net"))   
        || (shExpMatch(host, "*.broadcast.skype.com"))
        || (shExpMatch(host, "*.cc.skype.com")) 
        || (shExpMatch(host, "*.cdn.skype.com")) 
        || (shExpMatch(host, "*.cloudapp.net")) 	
        || (shExpMatch(host, "*.config.skype.com")) 
        || (shExpMatch(host, "*.conv.skype.com"))
        || (shExpMatch(host, "*.crl.entrust.net"))
        || (shExpMatch(host, "*.dc.trouter.io"))
        || (shExpMatch(host, "*.digicert.com"))
        || (shExpMatch(host, "*.entrust.net")) 	        
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.giphy.com")) 
        || (shExpMatch(host, "*.globalsign.com"))
        || (shExpMatch(host, "*.helpshift.com")) 
        || (shExpMatch(host, "*.hockeyapp.net"))       							
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    	
        || (shExpMatch(host, "*.lync.com"))
        || (shExpMatch(host, "*.microsoft.com"))				
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))	
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))	
        || (shExpMatch(host, "*.msedge.net"))
        || (shExpMatch(host, "*.msg.skype.com")) 					
        || (shExpMatch(host, "*.msocdn.com"))
        || (shExpMatch(host, "*.notification.api.microsoftstream.com"))	
        || (shExpMatch(host, "*.ocsp.omniroot.com"))    			
        || (shExpMatch(host, "*.office365.com"))
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.office.com"))	
        || (shExpMatch(host, "*.office.net"))
        || (shExpMatch(host, "*.officeapps.live.com"))		 
        || (shExpMatch(host, "*.onenote.com"))				
        || (shExpMatch(host, "*.outlook.com"))	
        || (shExpMatch(host, "*.outlookgroups.ms"))  
        || (shExpMatch(host, "*.oaspapps.com"))
        || (shExpMatch(host, "*.pipe.skype.com")) 			
        || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.sfbassets.com"))  
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sharepoint.com"))	
        || (shExpMatch(host, "*.skypeforbusiness.com"))	
        || (shExpMatch(host, "*.streaming.mediaservices.windows.net"))	
        || (shExpMatch(host, "*.svc.ms")) 	
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))
        || (shExpMatch(host, "*.teams.skype.com"))
        || (shExpMatch(host, "*.users.storage.live.com"))
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))				
        || (shExpMatch(host, "*.windows.net"))	
        || (shExpMatch(host, "*.yammer.com"))	
        || (shExpMatch(host, "*.yammerusercontent.com"))         
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "aka.ms"))	
        || (shExpMatch(host, "ajax.aspnetcdn.com"))
        || (shExpMatch(host, "amp.azure.net"))	
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "c.bing.net"))
        || (shExpMatch(host, "cert.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "client.hip.live.com"))     
        || (shExpMatch(host, "config.edge.skype.com"))
        || (shExpMatch(host, "connect.facebook.net"))
        || (shExpMatch(host, "crl.identrust.com/DSTROOTCAX3CRL.crl"))	
        || (shExpMatch(host, "dc.services.visualstudio.com"))	
        || (shExpMatch(host, "eus-www.sway-cdn.com"))	
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "graph.skype.com"))
        || (shExpMatch(host, "hybridconfiguration.azurewebsites.net"))  
        || (shExpMatch(host, "isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com"))					
        || (shExpMatch(host, "management.azure.com"))
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "nps.onyx.azure.net"))   
        || (shExpMatch(host, "ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "ocsp.msocsp.com"))     
        || (shExpMatch(host, "ocsp.omniroot.com"))     
        || (shExpMatch(host, "officecdn.microsoft.com.edgesuite.net"))
        || (shExpMatch(host, "officecdn.microsoft.com.edgekey.net"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com"))
        || (shExpMatch(host, "pipe.skype.com"))	
        || (shExpMatch(host, "platform.linkedin.com"))								
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))				
        || (shExpMatch(host, "prod.registrar.skype.com")) 
        || (shExpMatch(host, "prod.tpc.skype.com")) 
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "s-0001.s-msedge.net")) 
        || (shExpMatch(host, "s-0004.s-msedge.net"))   
        || (shExpMatch(host, "s0.assets-yammer.com"))  
        || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "site-cdn.onenote.net"))
        || (shExpMatch(host, "skydrive.wns.windows.com"))
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))		
        || (shExpMatch(host, "ssw.live.com"))
        || (shExpMatch(host, "staffhub.ms))
        || (shExpMatch(host, "staffhub.uservoice.com"))    
        || (shExpMatch(host, "storage.live.com"))				
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))	
        || (shExpMatch(host, "tse1.mm.bing.net"))     
        || (shExpMatch(host, "web.microsoftstream.com"))     
        || (shExpMatch(host, "wus-www.sway-cdn.com"))						
        || (shExpMatch(host, "wus-www.sway-extensions.com"))        
        || (shExpMatch(host, "wu.client.hip.live.com"))     
        || (shExpMatch(host, "www.bing.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com")))



    {
        return proxyserver;
    }

        //Catchall for all other traffic to another proxy

    else return "PROXY 10.10.10.11:8080";
}

Ось ще кілька інструментів від спільноти. Якщо ви б хотіли поділитись інструментом, який створили, напишіть про це в коментарях. Інструменти спільноти, наведені в цій статті, офіційно не підтримуються та не обслуговуються Майкрософт. Тут їх згадано для вашої зручності.

  • Ось перевірений часом засіб, створений спільнотою. Він допоможе вам керувати цим процесом. Його створив учасник спільноти Office 365. Ось інструкції та посилання для завантаження.

  • Доказ правильності концепції з правилами для брандмауера, які можна експортувати: Microsoft Cloud IP API.

  • Від ІТ Praktyk: інструкції, RSS-перетворення й XML-перетворення.

  • Від Пітера Абеля: завантаження.

  • Скориставшись аналізом мережі, визначте, які мережеві запити мають обходити інфраструктуру проксі-сервера. До найпоширеніших повних доменних імен (FQDN), які обходять проксі-сервери клієнта через обсяг вхідного та вихідного мережевого трафіку в цих кінцевих точках, належать такі:

    outlook.office365.com
    outlook.office.com
    <tenant-name>.sharepoint.com
    <tenant-name>-my.sharepoint.com
    <tenant-name>-<app>.sharepoint.com
    *.Lync.com
    
  • Усі мережеві запити, що надсилаються безпосередньо до брандмауера, повинні мати відповідний запис у списку довірених брандмауера, щоб проходити його.

Інтеграція периметра

Чи знаєте ви, що глобальна мережа Майкрософт – одна з найбільших магістральних мереж у світі?

Ця масштабна мережа забезпечує роботу Office 365 і наших інших хмарних служб незалежно від вашого місцезнаходження. Наша мережа складається зі зв’язків, що характеризуються високою пропускною спроможністю, низькою затримкою та здатністю до відновлення після відмови, протяжністю тисячі кілометрів приватних незайнятих оптоволоконних каналів, а також із багатотерабітних підключень між центрами обробки даних і межовими вузлами, завдяки чому нашими хмарними службами так просто користуватися.

До такої мережі просто не можна не під’єднати пристрої своєї організації якнайшвидше. Завдяки 2500 зв’язків однорангової взаємодії інтернет-провайдерів у глобальному масштабі та 70 точок присутності доступ до нашої мережі має бути бездоганним. Ніколи не буде зайвим усього за кілька хвилин перевірити, чи зв’язок однорангової взаємодії вашого інтернет-провайдера оптимальний. Ось кілька прикладів ефективної й не дуже однорангової взаємодії з нашою мережею.

Ви можете вручну або автоматично налаштувати оптимальну обробку мережевих запитів програми Office 365 на пристроях у своїй мережі залежно від вашого обладнання. Необхідні зміни до конфігурації для оптимальної обробки мережевого трафіку Office 365 залежать від середовища. З мережевими запитами Office 365 доцільно використовувати конфігурації мережі, які мають такі переваги:

  • пріоритет над менш важливим мережевим трафіком;

  • маршрутизація до локальної вихідної точки, щоб уникнути зворотної передачі повільним зв’язком глобальної мережі при низькій затримці, доступній в мережі Microsoft (корисне обговорення на основі відгуків клієнтів);

  • використання служби DNS, близької до локальної вихідної точки, щоб забезпечити надходження мережевих запитів, які покидають локальну вихідну точку, до найближчої точки взаємодії з Microsoft;

  • виключення з поглибленої перевірки пакетів або іншої інтенсивної обробки мережевих пакетів, щоб відповідати вимогам до затримки у великому масштабі.

У сучасних мережевих пристроях передбачено можливість керувати мережевими запитами для надійних програм, як-от Office 365, по-іншому, ніж універсальним ненадійним інтернет-трафіком. З розвитком ландшафту рішень програмно-конфігурованих глобальних мереж такі диференціацію трафіку та вибір шляху також впроваджувати також з урахуванням зміненого стану мережі, як-от доступності моменту часу, затримки або продуктивності різних шляхів підключення між користувачем і хмарою.

Додаткові рекомендації з планування конфігурації мережі див. в статтях Планування мережі та перенесення для Office 365, План виправлення неполадок із продуктивністю Office 365 і Контрольний список планування розгортання Office 365.

Щоб реалізувати цей сценарій:

Перевірте своє мережеве рішення або дізнайтеся у свого постачальника послуг, чи можете ви використовувати визначення URL- і IP-адрес Office 365 із файлів XML, щоб спростити локальний (до користувача) вихід мережі з низькими накладними витратами для трафіку Office 365, керувати його пріоритетністю відносно інших програм і регулювати мережевий шлях для підключень Office 365 до мережі Microsoft залежно від змінення умов мережі. Деякі рішення дають змогу завантажити й автоматизувати визначення URL- і IP-адрес Office 365 у своїх стеках.

Обов’язково переконайтеся, що впроваджене рішення має необхідний рівень стійкості, відповідну географічну резервність мережевого шляху для трафіку Office 365 і застосовує зміни до URL- і IP-адрес Office 365 після їх публікації.

Часті запитання від адміністраторів про підключення та відповіді на них:

Клацніть посилання внизу, щоб оцінити корисність статті й надіслати будь-які додаткові запитання. Ми переглянемо ваш відгук і надамо відповідь у цьому розділі поширених запитань.

Оголошені кінцеві точки вступають у силу й починають отримувати мережеві запити через 30 і більше днів. Протягом цього часу клієнти й партнери можуть оновити свої системи. Додані та вилучені повні доменні імена та IP-префікси оброблюються в XML-файлі одночасно з оголошенням. Це означає, що повні доменні імена з’являються в XML-файлі за 30 днів перед використанням. Надсилання мережевих запитів через кінцеві точки, що вилучаються, припиняється перед оголошенням про їхнє вилучення, тому коли ми вилучаємо кінцеву точку з XML-файлу (одночасно з оголошенням), вона вже не використовується.

Кінцеві точки Office 365 публікуються наприкінці кожного місяця зі сповіщенням за 30 днів. Іноді зміни можуть відбуватися частіше ніж раз на місяць або публікуватися з коротшими періодами сповіщення. Коли додається кінцева точка, дата набуття сили, зазначена на RSS-каналі, – це дата, після якої мережеві запити надсилатимуться до кінцевої точки. Якщо ви ще не користувалися RSS-каналами, дізнайтеся, як підписатися на них в Outlook. Крім того, ви можете отримувати новини з RSS-каналу електронною поштою.

Підписавшись на RSS-канал, ви можете аналізувати відомості самостійно або за допомогою сценарію. У наведеній нижче таблиці для зручності описано RSS-канал.

Розділ

Частина 1

Частина 2

Частина 3

Частина 4

Частина 5

Частина 6

Опис

Лічильник

Дата, після якої запити надсилатимуться до кінцевої точки.

Основний опис функції або служби, яка вимагає кінцевої точки.

Чи можна підключитися до цієї кінцевої точки в схемі ExpressRoute і в Інтернеті?

Так – ви можете підключитися до цієї кінцевої точки, як в Інтернеті, так і в ExpressRoute.

Ні – ви можете підключитися до цієї кінцевої точки лише в Інтернеті.

Ім’я FQDN або діапазон IP-адрес, що додається або видаляється.

Приклад

1/

[Початок – xx/xx/xxx.

Обов’язково: <опис>.

ExpressRoute:

<Так/Ні>.

<FQDN/IP>],

Також варто звернути увагу на те, що кожний запис має однаковий набір роздільників:

  • / – після лічильника;

  • [ – на позначення запису для лічильника;

  • . – використовується між кожним окремим розділом запису;

  • ], – на позначення кінця окремого запису;

  • ]. – на позначення кінця всіх записів.

Розташування клієнта найкраще визначати за допомогою карти центрів обробки даних.

Розташування однорангової взаємодії докладніше описано тут.

Завдяки 2500 зв’язків однорангової взаємодії інтернет-провайдерів у глобальному масштабі та 70 точок присутності доступ до нашої мережі має бути бездоганним. Ніколи не буде зайвим усього за кілька хвилин перевірити, чи зв’язок однорангової взаємодії вашого інтернет-провайдера оптимальний. Ось кілька прикладів ефективної й не дуже однорангової взаємодії з нашою мережею.

Прийняті маршрути ExpressRoute визначено IP-діапазонами Майкрософт і певними Office 365спільнотами BGP.

Ми регулярно додаємо нові функції та служби до програмного комплексу Office 365, розширюючи ландшафт підключення. Якщо ви підписані на SKU E3 чи E5, то вам потрібні всі кінцеві точки в списку, щоб забезпечити повну функціональність програмному комплексу. Якщо ви не підписані на жоден із цих SKU, мінімальна відмінність полягає в кількості кінцевих точок.

Нижче зображено частину таблиці імен FQDN у розділі Office Online. Рядки впорядковано за функціями та відмінностями в можливості підключення. Перші два рядки вказують на те, що Office Online використовує кінцеві точки, позначені як обов’язкові, у розділах автентифікації та ідентичності Office 365, а також портал і спільні служби. Служби в Office 365 зазвичай використовують ці спільні служби. У третьому рядку вказується на те, що клієнтські комп’ютери повинні мати змогу дістатись *.officeapps.live.com, щоб використовувати Office Online, а в четвертому – *.cdn.office.net.

Незважаючи на те, що третій і четвертий рядки необхідні для використання Office Online, їх розділено, щоб підкреслити відмінність їхнього місця призначення.

  1. *.officeapps.live.com не представляє мережі доставки вмісту, тобто запити до цього простору імен надходитимуть безпосередньо до центру обробки даних Microsoft.

  2. *.officeapps.live.com доступно в схемах ExpressRoute за допомогою однорангової мережі Microsoft.

  3. IP-адреси, пов’язані з Office Online і *.officeapps.live.com, можна знайти за цим посиланням.

  4. *.cdn.office.net представляє мережу доставки вмісту, розміщену на Akamai, тобто запити до цього простору імен надходитимуть до центру обробки даних Akamai.

  5. *.cdn.office.net не доступно в схемі ExpressRoute.

  6. IP-адреси, пов’язані з Office Online і *.cdn.office.net, недоступні.

Знімок екрана: сторінка кінцевих точок

Ми надаємо IP-адреси тільки для тих серверів Office 365, до яких вам слід налаштувати пряму маршрутизацію через Інтернет або ExpressRoute. Це не повний список усіх IP-адрес, для яких відображатимуться мережеві запити. Ви отримуватимете мережеві запити до Майкрософт і сторонніх неопублікованих IP-адрес. Ці IP-адреси генеруються динамічно або керуються так, що завчасно повідомляти про їх змінення не вдається. Якщо ваш брандмауер не може дозволити доступ на основі імен FQDN для цих мережевих запитів, використовуйте файл PAC або WPAD, щоб керувати запитами.

Бачите IP-адресу, пов’язану з Office 365, про яку вам потрібні додаткові відомості?

  1. Перевірте, чи ця IP-адреса входить до більшого опублікованого діапазону, використовуючи калькулятор CIDR.

  2. Перевірте, чи партнер володіє IP-адресою із запитом whois. Якщо вона належить Майкрософт, це може бути внутрішній партнер.

  3. Перевірте сертифікат, у браузері підключіться до IP-адреси, указавши її у форматі HTTPS://<IP-АДРЕСА>, перевірте домени, указані в сертифікаті, щоб зрозуміти, які домени зіставлено з IP-адресою. Якщо ця IP-адреса належить корпорації Майкрософт і відсутня в списку IP-адрес Office 365, імовірно, її зіставлено з мережею доставки вмісту (CDN) Microsoft, наприклад MSOCDN.NET, або іншим доменом Microsoft, для якого не опубліковано відомості про IP-адресу. Якщо дійсно виявиться, що IP-адресу домену, указаного в сертифікаті, потрібно додати до списку, повідомте нам про це.

В Office 365 та інших службах Microsoft використовуються деякі сторонні служби, як-от Akamai и MarkMonitor, для покращення роботи Office 365. У майбутньому ми можемо замінити їх, щоб забезпечити стабільно високий рівень обслуговування. При цьому ми часто публікуємо запис CNAME, що вказує на домен, який належить сторонньому постачальнику, запис A або IP-адресу. Домени сторонніх постачальників можуть розміщувати вміст, як-от мережу доставки вмісту, або служби, як-от службу географічного керування трафіком. Підключення до цих сторонніх постачальників відображаються у вигляді переспрямування чи посилання, а не у формі початкового запиту від клієнта. Деяким клієнтам потрібно дозволити пересилання й переспрямування в такому вигляді без явного додавання довгого списку потенційних імен FQDN, які можуть використовувати служби сторонніх постачальників.

Список служб може змінитися в будь-який час. Ось деякі з таких служб, які використовуються зараз:

MarkMonitor використовується, якщо ви бачите запити, що включають повне доменне ім’я *.nsatc.net. Ця служба забезпечує безпеку та моніторинг доменних імен із метою захисту від зловмисників.

ExactTarget використовується, якщо ви бачите запити на повне доменне ім’я *.exacttarget.com. Ця служба забезпечує адміністрування та моніторинг посилань у повідомленнях електронної пошти для захисту від зловмисників.

Akamai використовується, якщо ви бачите запити, що включають одне з наведених нижче повних доменних імен. Ця служба надає послуги geo-DNS і CDN.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

  • Ви підключаєтеся до сторонніх служб, щоб скористатись основними інтернет-службами, наприклад для пошуку DNS чи отримання вмісту через мережу CDN. Підключення до сторонніх служб також потрібне для інтеграції, наприклад для включення відео YouTube у блокноти OneNote.

  • Ви підключаєтеся до додаткових служб, які розмістила та виконує корпорація Майкрософт, таких як межові вузли, щоб ваші запити мережі потрапляли в глобальну мережу Microsoft у найближчій точці доступу до Інтернету. Це третя за розміром мережа на планеті, що підвищує ефективність підключення. Ви також підключаєтеся до служб Microsoft Azure, наприклад Azure Media Services, які використовуються в низці служб Office 365.

  • Ви підключаєтеся до основних служб Office 365, як-от сервера поштових скриньок Exchange Online або сервера "Skype для бізнесу – онлайн", на яких розташовано ваші власні унікальні дані. Щоб підключитися до основних служб Office 365, можна використовувати FQDN (повне доменне ім’я) або IP-адресу, а також канали Інтернету чи ExpressRoute. Підключитися до сторонніх і додаткових служб можна лише через канал Інтернету з використанням імен FQDN.

На схемі нижче наведено відмінності між областями дії цих служб. На цій схемі локальна мережа клієнта в лівому нижньому куті має кілька мережевих пристроїв для керуванням підключеннями до мережі. Подібні конфігурації часто зустрічаються в корпоративних клієнтів. Якщо мережа має лише брандмауер між клієнтськими комп’ютерами та Інтернетом, така конфігурація також підтримується. Однак потрібно переконатися, що брандмауер підтримує наявність імен FQDN і символів узагальнення в правилах списку довірених.

Три різні типи кінцевих точок мережі під час використання Office 365

Office 365 – це набір служб, розрахований на роботу через Інтернет, і заяви щодо його надійності та доступності зумовлені доступністю багатьох стандартних інтернет-служб. Наприклад, щоб використовувати Office 365, як і більшість сучасних інтернет-служб мають бути доступні такі стандартні інтернет-служби, як DNS, CRL і CDN.

Крім цих базових інтернет служб, ще є сторонні служби, які використовуються лише для інтеграції функціональних можливостей. Наприклад, використання Giphy.com у Microsoft Teams дає змогу клієнтам додавати зображення у форматі GIF. YouTube і Flickr – це теж сторонні служби, які використовуються для інтеграції відео й зображень з Інтернету в клієнти Office. Хоча ці служби потрібні для інтеграції, у статті про кінцеві точки Office 365 вони позначені як необов’язкові, тому, якщо така кінцева точка буде недоступна, базова функціональність служби не порушиться.

Якщо під час спроби скористатись Office 365 ви виявите, що сторонні служби недоступні, переконайтеся, що всі повні доменні імена (FQDN), позначені в цій статті як обов’язкові чи необов’язкові, дозволено на проксі-сервері й у брандмауері.

Додаткові служби – це служби Microsoft, які не підпадають під керування Office 365. Це, наприклад, такі елементи, як межова мережа, служби Azure Media Services і мережі доставки вмісту Azure. Усі вони необхідні для використання Office 365 і мають бути доступні.

Якщо під час спроби скористатись Office 365 ви виявите, що сторонні служби недоступні, переконайтеся, що всі повні доменні імена (FQDN), позначені в цій статті як обов’язкові чи необов’язкові, дозволено на проксі-сервері й у брандмауері.

Ви несете відповідальність за обмеження доступу до клієнтських служб для користувачів. Єдиний надійний спосіб заблокувати служби для користувачів – обмежити доступ до імені FQDN login.live.com. Це ім’я FQDN використовується широким набором служб, зокрема неклієнтських, таких як MSDN, TechNet тощо. Обмеження доступу до цього імені FQDN може викликати потребу включити винятки в правило для запитів мережі, зіставлених із цими службами.

Не забувайте: якщо заблокувати доступ лише до клієнтських служб Microsoft, будь-який користувач у мережі все ще зможе відфільтрувати дані за допомогою клієнта Office 365 чи іншої служби.

Див. також

Діапазони IP-адрес центрів обробки даних Microsoft Azure

Загальнодоступні IP-адреси Microsoft

Вимоги до мережевої інфраструктури для Microsoft Intune

Power BI і ExpressRoute

Діапазони URL- і IP-адрес Office 365

Керування ExpressRoute для підключення до Office 365

Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×