管理 ExpressRoute for Office 365 的连接性

ExpressRoute for Office 365 提供了一个备用路由路径,无需所有流量出口到 Internet,即可访问多项 Office 365 服务。虽然仍需通过 Internet 连接到 Office 365,但 Microsoft 通过 BGP 播发到网络的特定路由将以直接 ExpressRoute 线路作为首选(除非网络中有其他配置)。要管理此路由,通常需要在三个方面进行配置,包括前缀筛选、安全性和合规性。

注意: Microsoft 更改了 Azure ExpressRoute 审查 Microsoft 对等互连路由域的方式。自 2017 年 7 月 31 日起,所有 Azure ExpressRoute 客户都可直接从 Azure 管理控制台或 PowerShell 启用 Microsoft 对等互连。启用 Microsoft 对等互连后,任何客户都可以创建路由筛选器来接收 Dynamics 365 客户参与应用程序(以前称为 CRM Online)的 BGP 路由播发。需要适用于 Office 365 的 Azure ExpressRoute 的客户必须先获得 Microsoft 的审查,才能为 Office 365 创建路由筛选器。请联系你的 Microsoft 帐户团队,了解如何请求审核以启用 Office 365 ExpressRoute。尝试为 Office 365 创建路由筛选器的未授权订阅将收到错误消息

前缀筛选

Microsoft 建议客户接受由 Microsoft 播发的所有 BGP 路由,所提供的路由经过严格的审查和验证过程,因此添加监察再无益处。ExpressRoute 将本机提供推荐控件,例如 IP 前缀所有权、完整性和缩放 - 客户端上没有任何入站路由筛选。

如果需要在 ExpressRoute 公共对等中对路由所有权进行其他验证,可以针对代表 Microsoft 公共 IP 范围的所有 IPv4 和 IPv6 IP 前缀的列表检查播发的路由。这些范围涵盖完整的 Microsoft 地址空间,并且很少更改,提供一系列可靠的筛选范围,还为那些担心非 Microsoft 自有的路由泄漏到其环境中的客户提供了额外保护。若有更改,将在每月第 1 天进行更改,且页面“详细信息”部分中的版本号将在每次更新文件时更改。

由于多种原因,请避免使用 Office 365 URL 和 IP 地址范围生成前缀筛选列表。包括以下各项:

  • Office 365 IP前缀经常进行大量更改。

  • Office 365 URL 和 IP 地址范围设计用于管理防火墙允许列表和代理基础结构(而不是路由)。

  • Office 365 URL 和 IP 地址范围不包括可能在 ExpressRoute 连接范围内的其他 Microsoft 服务。

选项

复杂程度

更改控件

接受 Microsoft 的所有路由

低:客户根据 Microsoft 控件确保正确拥有所有路由。

筛选 Microsoft 自有超网

中等:客户执行汇总的前缀筛选列表,仅允许 Microsoft 自有的路由。

客户必须确保非经常性的更新反映在路由筛选器中。

筛选 Office 365 IP 范围。

警告: 不推荐

高:客户根据定义的 Office 365 IP前缀筛选路由。

客户必须为每月更新执行可靠的更改管理流程。

警告: 该解决方案需要大量持续的更改。未及时执行的更改可能会导致服务中断。

使用 Azure ExpressRoute 连接到 Office 365 以特定 IP 子网的 BGP 播发为基础,该子网代表部署 Office 365 终结点的网络。由于 Office 365 的全局特性和构成 Office 365 的服务数量,客户通常需要管理其网络上接受的播发。如果关心播发到环境中的前缀数量,可使用 BGP 社区 功能将播发筛选到特定的一组 Office 365 服务。此功能现处于预览状态。

无论如何管理来自 Microsoft 的 BGP 路由播发,与仅通过 Internet 线路连接到 Office 365 相比,都不会向 Office 365 服务公开用户的任何特殊信息。无论客户使用哪种类型的线路连接到 Office 365,Microsoft 将保持相同的安全性、合规性和性能级别。

安全性

Microsoft 建议针对进出 ExpressRoute 公共对等和 Microsoft 对等的连接(包括与 Office 365 服务的连接)维护自己的网络和安全外围控制。应为(从用户网络到 Microsoft 网络的)出站网络请求和(从 Microsoft 网络到用户网络的)入站网络请求配备安全控件。

从客户到 Microsoft 的出站访问

计算机连接到 Office 365 时,不论通过 Internet 还是 ExpressRoute 线路连接,它们都将连接到同一组终结点。无论使用何种线路,Microsoft 都建议对 Office 365 服务比对通用 Internet 目标更信任一些。出站安全控件应重点关注端口和协议,以减少公开并在最大限度上减少持续维护。Office 365 终结点参考文章中提供了所需端口信息。

对于添加的控件,可在代理基础结构中使用 FQDN 级别筛选来限制或检查发往 Internet 或 Office 365 的部分或全部网络请求。随着功能的发布和 Office 365 产品发展,维护 FQDN 列表需要更可靠的更改管理,还需要跟踪已发布的 Office 365 终结点 的更改。

警告: Microsoft 建议不要仅根据 IP 前缀来管理 Office 365 的出站安全性

选项

复杂程度

更改控件

无限制

低:客户允许对 Microsoft 进行无限制的出站访问。

端口限制

低:客户限制预期端口对 Microsoft 的出站访问。

不频繁。

FQDN 限制

高:客户基于已发布的 FQDN 限制对 Office 365 的出站访问。

每月更改。

从 Microsoft 到客户的入站访问

有几个可选方案需要 Microsoft 启动与用户网络的连接。

Microsoft 建议通过 Internet 线路(而非 ExpressRoute 线路)接受这些连接,以降低复杂程度。如果合规性或性能需求指示必须通过 ExpressRoute 线路接受这些入站,则建议使用防火墙或反向代理来规定已接受的连接的范围。可使用 Office 365 终结点找出正确的 FQDN 和 IP 前缀。

合规性

我们不依赖拥有针对符合性控件所用的路由路径。无论用户通过 ExpressRoute 还是 Internet 线路连接到 Office 365 服务,我们的符合性控件都不变。应查看 Office 365 的各个符合性和安全性认证级别,找到满足组织需求的最佳选择。

可通过以下短链接返回:https://aka.ms/manageexpressroute365

相关主题

内容交付网络
Office 365 URL 和 IP 地址范围
管理 Office 365 终结点
适用于 Office 365 培训的 Azure ExpressRoute

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×