Quản lý kết nối ExpressRoute cho Office 365

ExpressRoute dành cho Office 365 mang tới đường dẫn định tuyến thay thế để tiếp cận với nhiều dịch vụ Office 365 mà không cần toàn bộ lưu lượng phải chuyển sang internet. Mặc dù vẫn cần có kết nối internet tới Office 365 nhưng những tuyến cụ thể mà Microsoft quảng bá qua BGP tới mạng của bạn sẽ biến mạch ExpressRoute trực tiếp trở thành kết nối ưu tiên, trừ khi còn có cấu hình khác trong mạng của bạn. Ba khu vực phổ biến mà bạn có thể muốn đặt cấu hình nhằm quản lý việc định tuyến này, bao gồm lọc tiền tố, bảo mật và tuân thủ.

Lưu ý: Microsoft đã thay đổi cách xem xét miền định tuyến Microsoft Peering cho Azure ExpressRoute. Từ 31/07/2017, tất cả khách hàng Azure ExpressRoute đều có thể bật trực tiếp Microsoft Peering từ bảng điều khiển Azure Administrative hoặc thông qua PowerShell. Sau khi bật Microsoft Peering, mọi khách hàng đều có thể tạo bộ lọc định tuyến để nhận quảng cáo định tuyến BGP cho ứng dụng Dynamics 365 Customer Engagement (Trước đó là CRM Online). Khách hàng cần Azure ExpressRoute for Office 365 phải nhận được đánh giá từ Microsoft trước khi có thể tạo bộ lọc định tuyến cho Office 365. Vui lòng liên hệ với nhóm Tài khoản Microsoft của bạn để tìm hiểu cách yêu cầu đánh giá để bật Office 365 ExpressRoute. Những đăng ký trái phép tìm cách tạo bộ lọc định tuyến cho Office 365 sẽ nhận được thông báo lỗi

Lọc tiền tố

Microsoft khuyên khách hàng nên chấp nhận mọi tuyến BGP như được quảng bá từ Microsoft, các tuyến được cung cấp này phải trải qua một quy trình đánh giá và xác thực nghiêm ngặt, giúp loại bỏ mọi chi phí cho các khảo sát bổ sung. ExpressRoute vốn cung cấp các điều khiển được đề xuất, như quyền sở hữu tiền tố IP, tính toàn vẹn và thang đo - không kèm theo lọc tuyến đến ở phía khách hàng.

Nếu bạn cần xác thực bổ sung cho quyền sở hữu tuyến trên kết nối ngang hàng công cộng ExpressRoute, bạn có thể kiểm tra các tuyến đã quảng bá dựa trên danh sách chứa mọi tiền tố IP IPv4 và IPv6 đại diện cho Các dải IP công cộng của Microsoft. Các dải này chứa đầy đủ không gian địa chỉ Microsoft và ít khi thay đổi, mang tới một tập hợp các dải IP đáng tin cậy để lọc dựa trên đó, đồng thời tăng cường bảo vệ cho những khách hàng lo ngại về việc các tuyến không thuộc sở hữu của Microsoft có thể rò rỉ vào môi trường của họ. Trong trường hợp có thay đổi thì thay đổi sẽ được thực hiện vào ngày đầu tiên của tháng và số phiên bản trong mục chi tiết của trang sẽ thay đổi mỗi lần tệp được cập nhật.

Vì nhiều lý do, bạn nên tránh sử dụng các URL và dải địa chỉ IP của Office 365 để tạo danh sách lọc tiền tố. Lý do bao gồm:

  • Các tiền tố IP Office 365 thường xuyên bị thay đổi.

  • Các URL và dải địa chỉ IP của Office 365 được thiết kế để quản lý các danh sách cho phép tường lửa và cơ sở hạ tầng Proxy, chứ không phải định tuyến.

  • Các URL và dải địa chỉ IP của Office 365 không bao gồm các dịch vụ Microsoft khác có thể nằm trong phạm vi dành cho kết nối ExpressRoute của bạn.

Tùy chọn

Tính phức tạp

Thay đổi Điều khiển

Chấp nhận mọi tuyến của Microsoft

Thấp: Khách hàng tin tưởng vào các điều khiển Microsoft trong việc đảm bảo mọi tuyến đều thuộc sở hữu phù hợp.

Không có

Lọc các siêu mạng thuộc sở hữu của Microsoft

Trung bình: Khách hàng triển khai các danh sách lọc tiền tố tóm tắt để chỉ cho phép các định tuyến thuộc sở hữu của Microsoft.

Khách hàng phải đảm bảo các cập nhật không thường xuyên được phản ánh trong các bộ lọc định tuyến.

Lọc các dải IP của Office 365

Cảnh báo: Không Được đề xuất

Cao: Khách hàng lọc định tuyến dựa trên các tiền tố IP Office 365 đã xác định.

Khách hàng phải triển khai quy trình quản lý thay đổi mạnh mẽ đối với các bản cập nhật hàng tháng.

Thận trọng: Giải pháp này yêu cầu có thay đổi đáng kể đang diễn ra. Nếu các thay đổi không được triển khai kịp thời thì nhiều khả năng sẽ dẫn đến gián đoạn dịch vụ.

Việc kết nối với Office 365 bằng Azure ExpressRoute được dựa trên quảng cáo BGP về các mạng con IP cụ thể đại diện cho các mạng, trong đó các điểm cuối của Office 365 được triển khai. Do tính chất toàn cầu của Office 365 và số dịch vụ tạo nên Office 365, khách hàng thường cần phải quản lý các quảng cáo mà họ chấp nhận trên mạng của mình. Nếu bạn lo ngại về số tiền tố được quảng bá trong môi trường của mình, tính năng cộng đồng BGP sẽ cho phép bạn lọc các quảng cáo theo một bộ dịch vụ Office 365 cụ thể. Tính năng này hiện đang ở giai đoạn bản xem trước.

Bất kể cách bạn quản lý các quảng cáo định tuyến BGP từ Microsoft, bạn đều sẽ không có được bất kỳ tính tiếp cận đặc biệt nào với các dịch vụ của Office 365 khi so sánh với việc kết nối vào Office 365 trên mạch internet độc lập. Microsoft duy trì mức độ bảo mật, tuân thủ và hiệu suất tương đương bất kể loại mạch khách hàng sử dụng để kết nối với Office 365.

Bảo mật

Microsoft khuyên bạn nên duy trì các điều khiển mạng và vùng ngoại vi bảo mật riêng đối với các kết nối đến và đi từ kết nối ngang hàng công cộng và Microsoft của ExpressRoute, gồm cả các kết nối đến và đi từ các dịch vụ Office 365. Các điều khiển bảo mật được áp dụng cho các yêu cầu mạng đi từ mạng của bạn sang mạng của Microsoft, cũng như đến từ mạng của Microsoft vào mạng của bạn.

Đi từ Khách hàng sang Microsoft

Khi máy tính kết nối với Office 365, chúng sẽ kết nối với cùng một tập hợp điểm cuối, bất kể việc kết nối được tạo qua mạch internet hay mạch ExpressRoute. Bất kể sử dụng mạch nào, Microsoft đều khuyên bạn nên coi các dịch vụ Office 365 là đáng tin cậy hơn các đích internet chung. Các điều khiển bảo mật đi của bạn nên tập trung vào các cổng và giao thức nhằm giảm sự tiếp cận và giảm thiểu việc bảo trì liên tục. Thông tin bắt buộc về cổng có sẵn trong bài viết tham khảo Các điểm cuối của Office 365.

Đối với điều khiển đã thêm, bạn có thể sử dụng lọc mức FQDN bên trong cơ sở hạ tầng proxy của mình để hạn chế hoặc kiểm tra một số hoặc toàn bộ yêu cầu mạng dành cho internet hoặc Office 365. Việc duy trì danh sách FQDN dưới dạng tính năng đã được phát hành và các thay đổi trong ưu đãi Office 365 yêu cầu phải có sự quản ký thay đổi mạnh mẽ hơn cũng như theo dõi các thay đổi đối với các điểm cuối của Office 365 đã phát hành.

Cảnh báo: Microsoft khuyên bạn không nên chỉ dựa vào tiền tố IP để quản lý bảo mật đi cho Office 365

Tùy chọn

Tính phức tạp

Thay đổi Điều khiển

Không có giới hạn

Thấp: Khách hàng cho phép truy nhập đi không giới hạn vào Microsoft.

Không có

Hạn chế cổng

Thấp: Khách hàng hạn chế truy nhập đi vào Microsoft theo cổng dự kiến.

Không thường xuyên.

Hạn chế FQDN

Cao: Khách hàng hạn chế truy nhập đi vào Office 365 dựa trên các FQDN đã phát hành.

Thay đổi hàng tháng.

Đến từ Microsoft tới Khách hàng

Có một vài kịch bản tùy chọn yêu cầu Microsoft khởi tạo kết nối với mạng của bạn.

Microsoft khuyên bạn nên chấp nhận các kết nối này qua mạch internet của mình thay vì mạch ExpressRoute để giảm tính phức tạp. Nếu tính tuân thủ hoặc hiệu suất yêu cầu đọc những kết nối đến này qua mạch ExpressRoute, hãy sử dụng tường lửa hoặc proxy đảo ngược cho phạm vi kết nối chấp nhận được đề xuất. Bạn có thể sử dụng các điểm cuối của Office 365 để tìm ra FQDN và tiền tố IP phù hợp.

Tuân thủ

Chúng tôi không dựa vào đường dẫn định tuyến mà bạn sử dụng cho mọi điều khiển tuân thủ của chúng tôi. Bất kể bạn kết nối với dịch vụ Office 365 thông qua mạch ExpressRoute hay mạch internet, các điều khiển tuân thủ của chúng tôi luôn không đổi. Bạn nên xem lại các mức chứng chỉ bảo mật và tuân thủ khác nhau cho Office 365 để tìm ra lựa chọn phù hợp nhất nhằm đáp ứng được nhu cầu của tổ chức.

Sau đây là liên kết ngắn mà bạn có thể sử dụng để quay lại: https://aka.ms/manageexpressroute365

Chủ đề Liên quan

Mạng phân phối nội dung
Các URL và dải địa chỉ IP Office 365
Quản lý các điểm cuối Office 365
Nội dung đào tạo về Azure ExpressRoute cho Office 365

Phát triển kỹ năng Office của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Người dùng nội bộ Office

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

Cảm ơn bạn đã phản hồi! Để trợ giúp tốt hơn, có lẽ chúng tôi sẽ kết nối bạn với một trong những nhân viên hỗ trợ Office của chúng tôi.

×