Керування ExpressRoute для підключення до Office 365

ExpressRoute для Office 365 надає альтернативний шлях маршрутизації для переходу до багатьох служб Office 365 без того, щоб увесь трафік виходив в Інтернет. Хоча інтернет-підключення до служби Office 365 усе одно потрібне, у певних маршрутах до мережі, які Майкрософт оголошує через BGP, перевага надається схемі ExpressRoute, якщо в мережі немає інших конфігурацій. Три загальні параметри, які можна налаштувати для керування цією маршрутизацією, – це фільтрування префіксів, безпека та відповідність вимогам.

Примітка : Корпорація Майкрософт змінила спосіб перевірки сумісності домену маршрутизації однорангової мережі Microsoft з Azure ExpressRoute. Починаючи з 31 липня 2017 р. всі користувачі Azure ExpressRoute можуть увімкнути однорангову мережу Microsoft безпосередньо з консолі адміністрування Azure або за допомогою PowerShell. Після цього кожен користувач зможе створювати фільтри маршрутів, щоб отримувати оголошення маршрутів BGP для програм залучення клієнтів Dynamics 365 (раніше – CRM Online). Клієнти, які хочуть застосувати Azure ExpressRoute в Office 365, повинні отримати рецензію від корпорації Майкрософт, перш ніж створювати фільтри маршрутів Office 365. Зверніться до служби підтримки облікових записів Microsoft, щоб дізнатися, як отримати рецензію на активацію Office 365 ExpressRoute. Користувачі з неавторизованими передплатами, які намагаються створити фільтри маршрутів Office 365, отримають повідомлення про помилку.

Фільтрування префіксів

Майкрософт рекомендує клієнтам приймати всі маршрути BGP, які оголошує Майкрософт. Ці маршрути проходять ретельний процес рецензування та перевірки, після якого не потрібен додатковий розгляд. У службі ExpressRoute за замовчуванням передбачено рекомендовані елементи керування, як-от право власності на IP-префікс, його цілісність і масштабування – без фільтрування вхідних маршрутів із боку клієнта.

Якщо потрібна додаткова перевірка права власності на маршрут у загальнодоступній одноранговій мережі ExpressRoute, можна перевірити оголошені маршрути за списком усіх IP-префіксів IPv4 та IPv6, у якому представлені загальнодоступні діапазони IP-адрес служб Microsoft. Ці діапазони охоплюють увесь адресний простір служб Microsoft і рідко змінюються, надаючи надійний набір діапазонів для фільтрування, що також забезпечує додатковий захист для клієнтів, які переживають, що маршрути, які не належать корпорації Майкрософт, будуть пропускатися до їхнього середовища. Усі зміни вноситимуться 1-го числа місяця, а номер версії в розділі даних на сторінці змінюватиметься після кожного оновлення файлу.

Існує кілька причин не створювати списки фільтрування префіксів за допомогою діапазонів URL- і IP-адрес служби Office 365. Зокрема:

  • IP-префікси Office 365 часто змінюються.

  • Діапазони URL- і IP-адрес Office 365 призначені для керування тим, чи дозволяє брандмауер списки та інфраструктуру проксі-сервера, а не маршрутизацію.

  • Діапазони URL- і IP-адрес Office 365 не поширюються на інші служби Microsoft, які можуть входити в підключення ExpressRoute.

Параметр

Рівень складності

Змінення елемента керування

Прийняти всі маршрути корпорації Майкрософт

Низький. Клієнт покладається на елементи керування корпорації Майкрософт, щоб переконатися, що всі маршрути мають належного власника.

Немає

Фільтрувати супермережі, що належать корпорації Майкрософт

Середній. Клієнт упроваджує зведені списки фільтрування префіксів, щоб дозволити лише маршрути, які належать корпорації Microsoft.

Клієнти повинні слідкувати за тим, щоб нечасті оновлення відбивались у фільтрах маршрутів.

Фільтрувати діапазони IP-адрес Office 365

Попередження : Не рекомендовано

Високий. Клієнт фільтрує маршрути на основі визначених IP-префіксів Office 365.

Клієнти повинні впровадити надійний процес керування змінами для щомісячних оновлень.

Увага : Для цього рішення потрібні значні поточні зміни. Якщо не впровадити зміни вчасно, швидше за все, спостерігатимуться перебої в роботі служби.

Для підключення до Office 365 за допомогою Azure ExpressRoute використовуються оголошення BGP про певні IP-підмережі, у яких розгорнуто кінцеві точки Office 365. Через глобальне розповсюдження Office 365 і кількість служб, які входять до Office 365, клієнтам часто доводиться керувати оголошеннями, які вони приймають у своїй мережі. Якщо вас хвилює кількість префіксів, які оголошуються у вашому середовищі, функція спільноти BGP дає змогу фільтрувати оголошення до певного набору служб Office 365. Ця функція наразі доступна в підготовчій версії.

Незалежно від того, як ви керуєте оголошеннями маршрутів BGP, що надходять від служб Microsoft, ви не отримуєте якогось особливого впливу на служби Office 365 порівняно з підключенням до Office 365 лише через інтернет-схему. Корпорація Майкрософт підтримує однакові рівні безпеки, відповідності вимогам і продуктивності незалежно від типу схеми, яку клієнт використовує для підключення до Office 365.

Безпека

Майкрософт рекомендує зберігати елементи керування мережею та периметром безпеки для підключень в обох напрямках відносно загальнодоступної однорангової мережі ExpressRoute і однорангової мережі Microsoft, яка включає підключення в обох напрямках відносно служб Office 365. Елементи керування безпекою мають бути доступні для мережевих запитів, які виходять із вашої мережі до мережі Microsoft, а також із мережі Microsoft до вашої мережі.

Вихідні підключення від клієнта до служб Microsoft

Коли комп’ютери підключаються до Office 365, вони підключаються до одного набору кінцевих точок незалежно від того, чи підключення встановлено через інтернет-схему або схему ExpressRoute. Незалежно від схеми, яка використовується, Майкрософт рекомендує розглядати служби Office 365 як надійніші, ніж універсальні місця призначення в Інтернеті. Елементи керування вихідною безпекою мають зосереджуватися на портах і протоколах, щоб зменшити вплив і звести до мінімуму поточне обслуговування. Необхідні відомості про порт доступні в довідковій статті Кінцеві точки Office 365.

Що стосується додаткових елементів керування, ви можете використовувати фільтрування на рівні FQDN у межах інфраструктури проксі-сервера, щоб обмежити або перевірити деякі чи всі мережеві запити, призначені для Інтернету або Office 365. Щоб зберігати список імен FQDN відповідно до того, як випускаються компоненти та розвиваються пропозиції Office 365, потрібне надійніше керування змінами та відстеження змін в опублікованих кінцевих точках Office 365.

Попередження : Майкрософт не рекомендує покладатися виключно на IP-префікси, щоб керувати вихідною безпекою в службі Office 365.

Параметр

Рівень складності

Змінення елемента керування

Без обмежень

Низький. Клієнт надає необмежений вихідний доступ до служб Microsoft.

Немає

Обмеження портів

Низький. Клієнт обмежує вихідний доступ до служб Microsoft очікуваними портами.

Рідко.

Обмеження імен FQDN

Високий. Клієнт обмежує вихідний доступ до Office 365 на основі опублікованих імен FQDN.

Щомісяця.

Вхідні підключення від служб Microsoft до клієнта

Існує кілька необов’язкових сценаріїв, у яких вимагається, щоб корпорація Майкрософт ініціювала підключення до вашої мережі.

Майкрософт рекомендує приймати ці підключення через інтернет-схему, а не схему ExpressRoute, щоб знизити рівень складності. Якщо для ваших потреб відповідності вимогам і продуктивності необхідно, щоб ці вхідні підключення приймалися через схему ExpressRoute, для обмеження прийнятих підключень рекомендується використовувати брандмауер або реверсний проксі-сервер. За допомогою кінцевих точок Office 365 можна визначити правильні імена FQDN і IP-префікси.

Відповідність вимогам

Ми не покладаємося на шлях маршрутизації, який ви використовуєте для будь-якого з наших елементів керування відповідністю вимогам. Незалежно від того, чи ви підключаєтеся до служб Office 365 через схему ExpressRoute або інтернет-схему, наші елементи керування відповідністю вимогам не змінюються. Перегляньте різні рівні сертифікації відповідності вимогам і безпеки для Office 365, щоб визначити найкращий варіант, який відповідатиме потребам вашої організації.

Щоб повернутися назад, скористайтеся цим коротким посиланням: https://aka.ms/manageexpressroute365.

Пов’язані теми

Мережі доставки вмісту
Діапазони URL- і IP-адрес служби Office 365
Керування кінцевими точками Office 365
Навчальний курс з Azure ExpressRoute для Office 365

Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×