管理 Office 365 端点

Office 365 网络连接

2017/10/4 到 Office 365 的连接包含大量受信任的网络请求,这些请求在通过用户附近的低延迟出口发出时,性能最佳。优化连接对某些 Office 365 连接有利。

  1. 确保防火墙允许列表连接到 Office 365 终结点。

  2. 使用代理基础结构允许 Internet 连接到通配符和未发布目标。

  3. 维护最佳外围网络配置。

通过防火墙和代理连接到 Office 365。

更新防火墙的出站允许列表

绕过所有其他包级别检查或处理过程,直接通过防火墙发送所有 Office 365 可信网络请求可优化网络。这可减少因延迟造成的低性能,并降低周边容量需求。选择要信任的网络请求的最简单方法是使用上方的“代理”选项卡中预建的 PAC 文件。

如果防火墙阻止出站通信,请确保此 XML 文件中列为“必需”的所有 IP 和 FQDN 均位于允许列表中。识别所有服务需使用某些第三方服务。我们不提供这些第三方服务的 IP 地址,例如证书提供商、内容传送网络、DNS 提供商等。要获取完整的 Office 365 功能,不管我们发布的有关该目标的信息有多少,必须能够访问 Office 365 请求的所有目标。

多个目标没有发布的 IP 地址或被列为没有特定完全限定域名的通配符域,要使用此功能,必须能够将这些网络请求解析为当前所请求的 IP 地址,并通过 Internet 发送网络请求。

通过使用防火墙可使流程自动化,防火墙会分析 XML 文件并根据计划通过防火墙直接路由的服务或功能自动更新规则。还可使用社区构建的 Azure Range 工具,该工具可分析 XML,并提供 Cisco XE Route 或 ACL 列表配置、纯文本或 CSV 导出选项。

参考网站以及基于 RSS 的更改日志 上提供了网络目标的详细说明,以便订阅所做的更改。

使用 PAC 文件配置出站路径

使用 PAC 或 WPAD 文件管理与 Office 365 关联但没有 IP 地址的网络请求。通过代理或外围设备发送的网络请求通常会产生额外的延迟。虽然代理身份验证产生的税费最多,但其他服务(如信誉查找)及尝试检查包可能导致用户体验不佳。此外,这些外围网络设备需要有足够的容量,才能处理所有网络请求。建议绕过代理或检查基础结构直接发送 Office 365 网络请求。

使用一个 PAC 文件作为起始位置,确定将发送到代理和发送到防火墙的网络流量。如果未使用过 PAC 或 WPAD 文件,请从 Office 365 顾问获取并阅读有关部署 PAC 文件的文章。建议首先查看这些内容,然后进行编辑以适合你的环境。

2017/10/4 更新的 PAC 文件

第一个示例演示了仅通过 Internet 管理终结点的建议方法。它将绕过发布 IP 地址位置的 Office 365 目标代理,并将剩余的网络请求发送给代理。

代码片段:

// JavaScript source code

October 2017 - Updates go live 1st Nov 2017
//This PAC file contains all FQDNs needed for all services and splits the traffic between those which Microsoft can provide IPs for (so can be sent through a managed firewall with conditional access) and those which IPs cannot be provided for, so need to go to an unrestricted proxy or egress. 
//Due to the use of wildcards, some extra logic is provided to send traffic to the proxy before a 'direct' wildcard is hit.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    var proxyserver2 = "PROXY 10.10.10.11:8080"
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    //Catch explicit FQDNs which need the proxy but are covered under wildcarded FQDNs which have IPs. This has to be done first before the wildcard is hit

    if ((shExpMatch(host, "browser.pipe.aria.microsoft.com")) 
        || (shExpMatch(host, "compliance.outlook.com"))       
        || (shExpMatch(host, "mobile.pipe.aria.microsoft.com"))
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "r1.res.office365.com")) 
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "r3.res.outlook.com"))
        || (shExpMatch(host, "xsi.outlook.com")))

    {
        return proxyserver;
    }
        //Send FQDNs which Microsoft provide IPs for direct, so they can be sent via a firewall

    else if ((isPlainHostName(host))
    || (shExpMatch(host, "*.asm.skype.com"))
    || (shExpMatch(host, "*.broadcast.skype.com"))
    || (shExpMatch(host, "*.cc.skype.com"))
    || (shExpMatch(host, "*.config.skype.com"))
    || (shExpMatch(host, "*.conv.skype.com"))
    || (shExpMatch(host, "*.dc.trouter.io"))
    || (shExpMatch(host, "*.infra.lync.com"))
    || (shExpMatch(host, "*.lync.com"))
    || (shExpMatch(host, "*.msg.skype.com"))
    || (shExpMatch(host, "*.office365.com"))
    || (shExpMatch(host, "*.outlook.com"))
    || (shExpMatch(host, "*.outlook.office.com"))
    || (shExpMatch(host, "*.pipe.aria.microsoft.com"))
    || (shExpMatch(host, "*.pipe.skype.com"))
    || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
    || (shExpMatch(host, "*.protection.office.com"))
    || (shExpMatch(host, "*.sharepoint.com"))
    || (shExpMatch(host, "*.skypeforbusiness.com"))
    || (shExpMatch(host, "*.svc.ms"))
    || (shExpMatch(host, "*.teams.microsoft.com"))
    || (shExpMatch(host, "*.teams.skype.com"))
    || (shExpMatch(host, "*.yammer.com"))
    || (shExpMatch(host, "*.yammerusercontent.com"))
    || (shExpMatch(host, "*broadcast.officeapps.live.com"))
    || (shExpMatch(host, "*excel.officeapps.live.com"))
    || (shExpMatch(host, "*onenote.officeapps.live.com"))
    || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
    || (shExpMatch(host, "*view.officeapps.live.com"))
    || (shExpMatch(host, "*visio.officeapps.live.com"))
    || (shExpMatch(host, "*word-edit.officeapps.live.com"))
    || (shExpMatch(host, "*word-view.officeapps.live.com"))    
    || (shExpMatch(host, "account.office.net"))
    || (shExpMatch(host, "adminwebservice.microsoftonline.com"))
    || (shExpMatch(host, "agent.office.net"))
    || (shExpMatch(host, "apc.delve.office.com"))
    || (shExpMatch(host, "api.login.microsoftonline.com"))
    || (shExpMatch(host, "aus.delve.office.com"))
    || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))    
    || (shExpMatch(host, "can.delve.office.com"))
    || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
    || (shExpMatch(host, "ccs.login.microsoftonline.com"))
    || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
    || (shExpMatch(host, "clientlog.portal.office.com"))
    || (shExpMatch(host, "config.edge.skype.com"))
    || (shExpMatch(host, "controls.office.com"))
    || (shExpMatch(host, "cus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "delve.office.com"))
    || (shExpMatch(host, "device.login.microsoftonline.com"))    
    || (shExpMatch(host, "ea-000.tasks.osi.office.net"))
    || (shExpMatch(host, "eus-zzz.tasks.osi.office.net"))
    || (shExpMatch(host, "gbr.delve.office.com"))
    || (shExpMatch(host, "hip.microsoftonline-p.net"))
    || (shExpMatch(host, "hipservice.microsoftonline.com"))
    || (shExpMatch(host, "home.office.com"))
    || (shExpMatch(host, "ind.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "jpn.delve.office.com"))
    || (shExpMatch(host, "kor.delve.office.com"))
    || (shExpMatch(host, "lam.delve.office.com"))
    || (shExpMatch(host, "login.microsoft.com"))
    || (shExpMatch(host, "login.microsoftonline.com"))
    || (shExpMatch(host, "login.microsoftonline-p.com"))
    || (shExpMatch(host, "login.windows.net"))
    || (shExpMatch(host, "logincert.microsoftonline.com"))
    || (shExpMatch(host, "loginex.microsoftonline.com"))
    || (shExpMatch(host, "login-us.microsoftonline.com"))     
    || (shExpMatch(host, "nam.delve.office.com"))
    || (shExpMatch(host, "neu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "nexus.microsoftonline-p.com"))
    || (shExpMatch(host, "nexus.officeapps.live.com"))
    || (shExpMatch(host, "nexusrules.officeapps.live.com"))
    || (shExpMatch(host, "pipe.skype.com"))
    || (shExpMatch(host, "portal.microsoftonline.com"))
    || (shExpMatch(host, "portal.office.com"))
    || (shExpMatch(host, "prod.registrar.skype.com"))
    || (shExpMatch(host, "prod.tpc.skype.com"))
    || (shExpMatch(host, "provisioningapi.microsoftonline.com"))
    || (shExpMatch(host, "s-0001.s-msedge.net"))
    || (shExpMatch(host, "s-0004.s-msedge.net"))
    || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net"))   
    || (shExpMatch(host, "sea-000.tasks.osi.office.net"))    
    || (shExpMatch(host, "signup.microsoft.com"))
    || (shExpMatch(host, "stamp2.login.microsoftonline.com"))
    || (shExpMatch(host, "suite.office.net"))    
    || (shExpMatch(host, "tasks.office.com"))
    || (shExpMatch(host, "teams.microsoft.com"))
    || (shExpMatch(host, "testconnectivity.microsoft.com"))
    || (shExpMatch(host, "weu-000.tasks.osi.office.net"))
    || (shExpMatch(host, "wus-000.tasks.osi.office.net"))
    || (shExpMatch(host, "www.office.com"))
    || (shExpMatch(host, "www.sway.com")))
      
    {
        return "DIRECT";
    }
    else

        // Send all unknown IP traffic to Proxy for unrestricted access. This section is not necessary if you have a catchall for all other traffic to go to an unfiltered proxy. 
        //However the fqdns required, but for which we dont have IPs for, are listed here incase you need an explicit list.

    if ((shExpMatch(host, "*.aadrm.com")) 
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "*.adhybridhealth.azure.com"))    
        || (shExpMatch(host, "*.api.microsoftstream.com"))   
        || (shExpMatch(host, "*.api.skype.com"))
        || (shExpMatch(host, "*.assets-yammer.com"))   
        || (shExpMatch(host, "*.azurerms.com")) 
        || (shExpMatch(host, "*.azureedge.net"))            
        || (shExpMatch(host, "*.cloudapp.net")) 
        || (shExpMatch(host, "*.entrust.net")) 
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.helpshift.com"))   
        || (shExpMatch(host, "*.hockeyapp.net"))    
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    
        || (shExpMatch(host, "*.microsoft.com"))
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))
        || (shExpMatch(host, "*.msedge.net"))      
        || (shExpMatch(host, "*.msocdn.com"))   
        || (shExpMatch(host, "*.office.com"))   
        || (shExpMatch(host, "*.office.net")) 
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.secure.skypeassets.com"))  
        || (shExpMatch(host, "*.sfbassets.com"))
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))     
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))
        || (shExpMatch(host, "*.windows.net"))
        || (shExpMatch(host, "ad.atdmt.com")) 
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "ajax.aspnetcdn.com")) 
        || (shExpMatch(host, "aka.ms"))
        || (shExpMatch(host, "amp.azure.net")) 
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "broadcast.skype.com")) 
        || (shExpMatch(host, "cacerts.digicert.com"))        
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "compliance.outlook.com"))   
        || (shExpMatch(host, "connect.facebook.net"))        
        || (shExpMatch(host, "crl.globalsign.com"))
        || (shExpMatch(host, "crl3.digicert.com"))  
        || (shExpMatch(host, "crl4.digicert.com")) 
        || (shExpMatch(host, "dc.services.visualstudio.com")) 
        || (shExpMatch(host, "domains.live.com"))
        || (shExpMatch(host, "ecn.dev.virtualearth.net "))   
        || (shExpMatch(host, "eus-www.sway-cdn.com"))
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "eur.delve.office.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "firstpartyapps.oaspapps.com")) 
        || (shExpMatch(host, "graph.skype.com"))   
        || (shExpMatch(host, "groupsapi2-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi3-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi4-prod.outlookgroups.ms"))  
        || (shExpMatch(host, "groupsapi-prod.outlookgroups.ms")) 
        || (shExpMatch(host, "latest-swx.cdn.skype.com")) 
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com")) 
        || (shExpMatch(host, "management.azure.com"))        
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "ocsp.globalsign.com"))
        || (shExpMatch(host, "ocsp.msocsp.com"))       
        || (shExpMatch(host, "ocsp2.globalsign.com"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com")) 
        || (shExpMatch(host, "pipe.skype.com")) 
        || (shExpMatch(host, "platform.linkedin.com"))
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))
        || (shExpMatch(host, "prod.firstpartyapps.oaspapps.com.akadns.net")) 
        || (shExpMatch(host, "r1.res.office365.com"))
        || (shExpMatch(host, "r3.res.office365.com"))
        || (shExpMatch(host, "r4.res.office365.com"))
        || (shExpMatch(host, "s.ytimg.com")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "secure.aadcdn.microsoftonline-p.com"))
        || (shExpMatch(host, "secure.globalsign.com")) 
        || (shExpMatch(host, "site-cdn.onenote.net")) 
        || (shExpMatch(host, "skydrive.wns.windows.com")) 
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))   
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))  
        || (shExpMatch(host, "staffhub.ms"))
        || (shExpMatch(host, "staffhub.uservoice.com")) 
        || (shExpMatch(host, "sway.com"))              
        || (shExpMatch(host, "swx.cdn.skype.com"))  
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))         
        || (shExpMatch(host, "telemetryservice.firstpartyapps.oaspapps.com"))    
        || (shExpMatch(host, "web.microsoftstream.com"))         
        || (shExpMatch(host, "wus-firstpartyapps.oaspapps.com"))  
        || (shExpMatch(host, "wus-www.sway-cdn.com"))
        || (shExpMatch(host, "wus-www.sway-extensions.com"))   
        || (shExpMatch(host, "xsi.outlook.com"))
        || (shExpMatch(url, "http://apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(url, "http://cert.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://crl.identrust.com/DSTROOTCAX3CRL.crl"))
        || (shExpMatch(url, "http://isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(url, "http://ocsp.digicert.com"))
        || (shExpMatch(url, "http://ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(url, "http://ocsp.msocsp.com"))
        || (shExpMatch(url, "http://ocspx.digicert.com"))   
        || (shExpMatch(url, "https://assets.onestore.ms/cdnfiles/external/"))   
        || (shExpMatch(url, "https://cdn.optimizely.com/js/"))  
        || (shExpMatch(url, "https://nps.onyx.azure.net"))
        || (shExpMatch(url, "https://web.localytics.com/v3/localytics.js"))  
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertGlobalRootCA.crt"))
        || (shExpMatch(url, "https://www.digicert.com/CACerts/DigiCertHighAssuranceEVRootCA.crt"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com"))
        || (shExpMatch(host, "www.youtube.com")))
        

    {
        return proxyserver;
    }

    //Catchall for all other traffic to another proxy 

else return proxyserver;
}

第二个示例演示了我们建议的 ExpressRoute 和 Internet 线路可用时管理连接的方法。将 ExpressRoute 公布的目标发送到 ExpressRoute 线路,而仅将 Internet 公布的目标发送到代理。

代码片段:

// JavaScript source code
//October2017 Update
// Consolidated FQDNs of URLS which are reachable via Microsoft peering over ExpressRoute. All other traffic sent to a proxy in this example. 
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your traffic flow needs and the Office 365 URL & IP page. 
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;
    //SUB-FQDNs of ExpressRoutable wildcards which need to be explicitly sent to the proxy at the top of the PAC because they arent ER routable
    if ((shExpMatch(host, "*.click.email.microsoftonline.com"))
        || (shExpMatch(host, "*.portal.microsoftonline.com")))					
    {
        return proxyserver;
    }
        //EXPRESS ROUTE DIRECT
    else if ((isPlainHostName(host))
            || (shExpMatch(host, "*.asm.skype.com"))
            || (shExpMatch(host, "*broadcast.officeapps.live.com"))
            || (shExpMatch(host, "*.cc.skype.com"))
            || (shExpMatch(host, "*.config.skype.com"))    
            || (shExpMatch(host, "*.conv.skype.com"))
            || (shExpMatch(host, "*.dc.trouter.io"))
            || (shExpMatch(host, "*excel.officeapps.live.com"))
            || (shExpMatch(host, "*.lync.com"))	
            || (shExpMatch(host, "*.microsoftonline.com"))
            || (shExpMatch(host, "*.msg.skype.com"))
            || (shExpMatch(host, "*onenote.officeapps.live.com"))
            || (shExpMatch(host, "*.outlook.office.com"))
            || (shExpMatch(host, "*.pipe.skype.com")) 
            || (shExpMatch(host, "*.pipe.aria.microsoft.com")) 
            || (shExpMatch(host, "*powerpoint.officeapps.live.com"))
            || (shExpMatch(host, "*.protection.office.com"))
            || (shExpMatch(host, "*.protection.outlook.com"))						
            || (shExpMatch(host, "*.sharepoint.com")) 
            || (shExpMatch(host, "*.skypeforbusiness.com")) 
            || (shExpMatch(host, "*.svc.ms"))   
            || (shExpMatch(host, "*.teams.microsoft.com"))  
            || (shExpMatch(host, "*.teams.skype.com"))  
            || (shExpMatch(host, "*view.officeapps.live.com"))                                 
            || (shExpMatch(host, "*visio.officeapps.live.com"))
            || (shExpMatch(host, "*word-view.officeapps.live.com"))
            || (shExpMatch(host, "*word-edit.officeapps.live.com"))	
            || (shExpMatch(host, "autodiscover-*.outlook.com"))				
            || (shExpMatch(host, "apc.delve.office.com"))
            || (shExpMatch(host, "aus.delve.office.com"))
            || (shExpMatch(host, "account.office.net"))
            || (shExpMatch(host, "agent.office.net"))  
            || (shExpMatch(host, "browser.pipe.aria.microsoft.com"))  
            || (shExpMatch(host, "can.delve.office.com")) 
            || (shExpMatch(host, "ccs-sdf.login.microsoftonline.com"))
            || (shExpMatch(host, "ccs.login.microsoftonline.com"))  
            || (shExpMatch(host, "clientconfig.microsoftonline-p.net"))
            || (shExpMatch(host, "config.edge.skype.com"))
            || (shExpMatch(host, "delve.office.com"))
            || (shExpMatch(host, "domains.live.com")) 
            || (shExpMatch(host, "eur.delve.office.com"))
            || (shExpMatch(host, "gbr.delve.office.com"))
            || (shExpMatch(host, "hip.microsoftonline-p.net"))
            || (shExpMatch(host, "home.office.com"))
            || (shExpMatch(host, "ind.delve.office.com"))
            || (shExpMatch(host, "jpn.delve.office.com"))
            || (shExpMatch(host, "kor.delve.office.com"))
            || (shExpMatch(host, "lam.delve.office.com"))
            || (shExpMatch(host, "login.microsoftonline-p.net"))				
            || (shExpMatch(host, "login.windows.net"))						
            || (shExpMatch(host, "login.microsoft.com"))
            || (shExpMatch(host, "nam.delve.office.com"))
            || (shExpMatch(host, "nexus.microsoftonline-p.net"))
            || (shExpMatch(host, "outlook.office365.com")) 
            || (shExpMatch(host, "pipe.skype.com"))	
            || (shExpMatch(host, "portal.office.com"))
            || (shExpMatch(host, "prod.registrar.skype.com"))
            || (shExpMatch(host, "prod.tpc.skype.com"))
            || (shExpMatch(host, "s-0001.s-msedge.net"))
            || (shExpMatch(host, "s-0004.s-msedge.net"))
            || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net"))
            || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
            || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net"))  
            || (shExpMatch(host, "signup.microsoft.com"))
            || (shExpMatch(host, "smtp.office365.com"))  
            || (shExpMatch(host, "suite.office.net")) 
            || (shExpMatch(host, "teams.microsoft.com"))  
            || (shExpMatch(host, "www.outlook.com"))   						
            || (shExpMatch(host, "www.office.com")))



       
    {
        return "DIRECT";
    }

        // If Azure public peering is available the following can be added to the Expressroute section above and sent direct via ER. If not these can be sent via the internet i.e delete them from the PAC file.
       
        //*.adhybridhealth.azure.com
        //*.cloudapp.net
        //*.blob.core.windows.net
        //*.hybridconfiguration.azurewebsites.net
        //*.keydelivery.mediaservices.windows.net
        //*.queue.core.windows.net
        //*.servicebus.windows.net - Port: 5671 (If 5671 is blocked, agent falls back to 443, but using 5671 is recommended.)
        //*.store.core.windows.net
        //*.streaming.mediaservices.windows.net
        //*.table.core.windows.net
        //compliance.outlook.com
        //dc.services.visualstudio.com
        //equivio.office.com
        //equivioprod*.cloudapp.net
        //hybridconfiguration.azurewebsites.net
        //liverdcxstorage.blob.core.windowsazure.com//
        //management.azure.com
        //mshrcstorageprod.blob.core.windows.net
        //office365servicehealthcommunications.cloudapp.net
        //office365zoom.cloudapp.net
        //policykeyservice.dc.ad.msft.net
        //protection.office.com
        //secure.aadcdn.microsoftonline-p.com
        //telemetry.remoteapp.windowsazure.com
        //vortex.data.microsoft.com
        //www.remoteapp.windowsazure.com
        //zoom-cs-prod*.cloudapp.net



        //Catchall for all other traffic to proxy
    else
    {
        return proxyserver;
    }
}

第三个示例演示了如何将与 Office 365 关联的所有网络请求发送给单个目标。这通常用来绕过 Office 365 网络请求的所有检查,并还提供了一种格式,在此格式中所有已发布终结点都处于 PAC 格式的列表中,以用于自定义。

代码片段:

// JavaScript source code
//October 2017 Update new URLS go live 1st Nov2017 - Some URLs may have been removed from this file from previous versions as they are no longer required.
//Consolidated FQDNs required to access Office 365 - All services including optional components covered and elements covered under wildcards removed. 
//Some repeated domains have been consoliodated into unpublished wildcards in order to keep the file as small as possible.
//Includes Core ProPlus URLs but not Office Mobile/IPAD/IOS/ANDROID fqdns from https://support.office.com/en-gb/article/Network-requests-in-Office-365-ProPlus-eb73fcd1-ca88-4d02-a74b-2dd3a9f3364d
//Every Effort is made to ensure 100% accuracy but this PAC should be used as an example and cross-checked with your needs and the Office 365 URL & IP page
//Intended only for Worldwide Office 365 instances, which the vast majority of customers will be using

function FindProxyForURL(url, host)
{
    // Define proxy server
    var proxyserver = "PROXY 10.10.10.10:8080";
    // Make host lowercase
    var lhost = host.toLowerCase();
    host = lhost;

    if ((shExpMatch(host, "*.adhybridhealth.azure.com"))
        || (shExpMatch(host, "*.api.microsoftstream.com"))  
        || (shExpMatch(host, "*.api.skype.com"))  
        || (shExpMatch(host, "*.asm.skype.com"))     
        || (shExpMatch(host, "*.assets-yammer.com"))
        || (shExpMatch(host, "*.azureedge.net"))   
        || (shExpMatch(host, "*.broadcast.skype.com"))
        || (shExpMatch(host, "*.cc.skype.com")) 
        || (shExpMatch(host, "*.cdn.skype.com")) 
        || (shExpMatch(host, "*.cloudapp.net")) 	
        || (shExpMatch(host, "*.config.skype.com")) 
        || (shExpMatch(host, "*.conv.skype.com"))
        || (shExpMatch(host, "*.crl.entrust.net"))
        || (shExpMatch(host, "*.dc.trouter.io"))
        || (shExpMatch(host, "*.digicert.com"))
        || (shExpMatch(host, "*.entrust.net")) 	        
        || (shExpMatch(host, "*.geotrust.com"))
        || (shExpMatch(host, "*.giphy.com")) 
        || (shExpMatch(host, "*.globalsign.com"))
        || (shExpMatch(host, "*.helpshift.com")) 
        || (shExpMatch(host, "*.hockeyapp.net"))       							
        || (shExpMatch(host, "*.live.com"))
        || (shExpMatch(host, "*.localytics.com"))    	
        || (shExpMatch(host, "*.lync.com"))
        || (shExpMatch(host, "*.microsoft.com"))				
        || (shExpMatch(host, "*.microsoftonline.com"))
        || (shExpMatch(host, "*.microsoftonline-p.com"))	
        || (shExpMatch(host, "*.microsoftonline-p.net"))
        || (shExpMatch(host, "*.msecnd.net"))	
        || (shExpMatch(host, "*.msedge.net"))
        || (shExpMatch(host, "*.msg.skype.com")) 					
        || (shExpMatch(host, "*.msocdn.com"))
        || (shExpMatch(host, "*.notification.api.microsoftstream.com"))	
        || (shExpMatch(host, "*.ocsp.omniroot.com"))    			
        || (shExpMatch(host, "*.office365.com"))
        || (shExpMatch(host, "*.omniroot.com"))
        || (shExpMatch(host, "*.onmicrosoft.com"))
        || (shExpMatch(host, "*.office.com"))	
        || (shExpMatch(host, "*.office.net"))
        || (shExpMatch(host, "*.officeapps.live.com"))		 
        || (shExpMatch(host, "*.onenote.com"))				
        || (shExpMatch(host, "*.outlook.com"))	
        || (shExpMatch(host, "*.outlookgroups.ms"))  
        || (shExpMatch(host, "*.oaspapps.com"))
        || (shExpMatch(host, "*.pipe.skype.com")) 			
        || (shExpMatch(host, "*.portal.cloudappsecurity.com"))
        || (shExpMatch(host, "*.public-trust.com"))
        || (shExpMatch(host, "*.search.production.us.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.emea.trafficmanager.net"))
        || (shExpMatch(host, "*.search.production.apac.trafficmanager.net"))
        || (shExpMatch(host, "*.sfbassets.com"))  
        || (shExpMatch(host, "*.sharepointonline.com")) 
        || (shExpMatch(host, "*.sharepoint.com"))	
        || (shExpMatch(host, "*.skypeforbusiness.com"))	
        || (shExpMatch(host, "*.streaming.mediaservices.windows.net"))	
        || (shExpMatch(host, "*.svc.ms")) 	
        || (shExpMatch(host, "*.sway.com"))
        || (shExpMatch(host, "*.symcb.com"))
        || (shExpMatch(host, "*.symcd.com"))
        || (shExpMatch(host, "*.teams.skype.com"))
        || (shExpMatch(host, "*.users.storage.live.com"))
        || (shExpMatch(host, "*.verisign.com"))
        || (shExpMatch(host, "*.verisign.net"))				
        || (shExpMatch(host, "*.windows.net"))	
        || (shExpMatch(host, "*.yammer.com"))	
        || (shExpMatch(host, "*.yammerusercontent.com"))         
        || (shExpMatch(host, "account.activedirectory.windowsazure.com"))
        || (shExpMatch(host, "admin.onedrive.com"))
        || (shExpMatch(host, "aka.ms"))	
        || (shExpMatch(host, "ajax.aspnetcdn.com"))
        || (shExpMatch(host, "amp.azure.net"))	
        || (shExpMatch(host, "apis.live.net"))
        || (shExpMatch(host, "api.microsoftstream.com"))
        || (shExpMatch(host, "apps.identrust.com/roots/dstrootcax3.p7c"))
        || (shExpMatch(host, "assets.onestore.ms"))
        || (shExpMatch(host, "auth.gfx.ms"))
        || (shExpMatch(host, "c.bing.net"))
        || (shExpMatch(host, "cert.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "cdn.onenote.net"))
        || (shExpMatch(host, "cdn.optimizely.com"))
        || (shExpMatch(host, "client.hip.live.com"))     
        || (shExpMatch(host, "config.edge.skype.com"))
        || (shExpMatch(host, "connect.facebook.net"))
        || (shExpMatch(host, "crl.identrust.com/DSTROOTCAX3CRL.crl"))	
        || (shExpMatch(host, "dc.services.visualstudio.com"))	
        || (shExpMatch(host, "eus-www.sway-cdn.com"))	
        || (shExpMatch(host, "eus-www.sway-extensions.com"))
        || (shExpMatch(host, "feedback.skype.com"))
        || (shExpMatch(host, "graph.skype.com"))
        || (shExpMatch(host, "hybridconfiguration.azurewebsites.net"))  
        || (shExpMatch(host, "isrg.trustid.ocsp.identrust.com"))
        || (shExpMatch(host, "liverdcxstorage.blob.core.windowsazure.com"))					
        || (shExpMatch(host, "management.azure.com"))
        || (shExpMatch(host, "mem.gfx.ms"))
        || (shExpMatch(host, "nps.onyx.azure.net"))   
        || (shExpMatch(host, "ocsp.int-x3.letsencrypt.org"))
        || (shExpMatch(host, "ocsp.msocsp.com"))     
        || (shExpMatch(host, "ocsp.omniroot.com"))     
        || (shExpMatch(host, "officecdn.microsoft.com.edgesuite.net"))
        || (shExpMatch(host, "officecdn.microsoft.com.edgekey.net"))
        || (shExpMatch(host, "oneclient.sfx.ms"))
        || (shExpMatch(host, "outlook.uservoice.com"))
        || (shExpMatch(host, "pipe.skype.com"))	
        || (shExpMatch(host, "platform.linkedin.com"))										
        || (shExpMatch(host, "policykeyservice.dc.ad.msft.net"))				
        || (shExpMatch(host, "prod.registrar.skype.com")) 
        || (shExpMatch(host, "prod.tpc.skype.com")) 
        || (shExpMatch(host, "quicktips.skypeforbusiness.com"))
        || (shExpMatch(host, "s-0001.s-msedge.net")) 
        || (shExpMatch(host, "s-0004.s-msedge.net"))   
        || (shExpMatch(host, "s0.assets-yammer.com"))  
        || (shExpMatch(host, "scsinstrument-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-us.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-eu.trafficmanager.net")) 
        || (shExpMatch(host, "scsquery-ss-asia.trafficmanager.net")) 
        || (shExpMatch(host, "site-cdn.onenote.net"))
        || (shExpMatch(host, "skydrive.wns.windows.com"))
        || (shExpMatch(host, "skypemaprdsitus.trafficmanager.net"))
        || (shExpMatch(host, "spoprod-a.akamaihd.net"))		
        || (shExpMatch(host, "ssw.live.com"))
        || (shExpMatch(host, "staffhub.ms))
        || (shExpMatch(host, "staffhub.uservoice.com"))    
        || (shExpMatch(host, "storage.live.com"))				
        || (shExpMatch(host, "telemetry.remoteapp.windowsazure.com"))	
        || (shExpMatch(host, "tse1.mm.bing.net"))     
        || (shExpMatch(host, "web.microsoftstream.com"))     
        || (shExpMatch(host, "wus-www.sway-cdn.com"))						
        || (shExpMatch(host, "wus-www.sway-extensions.com"))        
        || (shExpMatch(host, "wu.client.hip.live.com"))     
        || (shExpMatch(host, "www.bing.com"))
        || (shExpMatch(host, "www.onedrive.com"))
        || (shExpMatch(host, "www.google-analytics.com"))
        || (shExpMatch(host, "www.remoteapp.windowsazure.com")))



    {
        return proxyserver;
    }

        //Catchall for all other traffic to another proxy

    else return "PROXY 10.10.10.11:8080";
}

还有一些来自社区的工具,如果构建了想要分享的内容,请在评论中留言告知。本文中引用的社区工具皆不由 Microsoft 正式提供支持或维护,我们仅为方便用户而在此提供这些工具。

  • 下面是最早的社区生成的工具,可帮助管理流程。由 Office 365 社区的成员生成的工具。下面提供说明下载

  • 含可导出防火墙规则的概念证明:Microsoft 云 IP API

  • 来自 IT Praktyk:说明RSS 转换XML 转换

  • 来自 Peter Abele:下载.

  • 使用网络分析确定应绕过代理基础结构的网络请求。根据终结点发送和接收的网络流量大小,绕过客户代理的最常用 FQDN 包括如下。

    outlook.office365.com
    outlook.office.com
    <tenant-name>.sharepoint.com
    <tenant-name>-my.sharepoint.com
    <tenant-name>-<app>.sharepoint.com
    *.Lync.com
    
  • 确保直接发送到防火墙的任何网络请求在防火墙允许列表中有对应条目,以允许请求通过防火墙。

外围网络集成

你是否知道 Microsoft 的 WAN 是世界最大主干网之一?

事实确实如此,正是由于这个庞大的网络,Office 365 和我们其他的云服务才能不受地域限制地正常工作。我们的网络带宽高,延迟低,可进行故障转移的链路拥有数千英里的私有暗光纤,数据中心和边缘节点之间的连接达到数兆兆位,这一切使使用我们的云服务变得更加轻松。

有了这样的网络,你就会希望将组织的设备尽快连接到我们的网络。我们在全球拥有 2500 多个 ISP 对等关系和 70 个接入点,因此你的网络可无缝连接到我们的网络。花几分钟时间确保你的 ISP 对等关系为最佳对等关系,这不会有什么坏处,此处的几个示例展示了对等转接我们的网络时较顺利的情况和不太顺利的情况。

可手动或自动在网络上配置设备,根据设备具体情况,采用最佳方式处理 Office 365 应用程序网络请求。需根据环境决定要更改的配置,从而以最佳方式处理 Office 365 网络流量。Office 365 网络请求可能会受益于允许以下内容的网络配置:

  • 优先于重要性更低的网络流量。

  • 路由到本地出口,避免通过慢速 WAN 链路回程,同时利用 Microsoft 网络上可用的低延迟。基于与客户的互动,此处进行了一番很好的讨论

  • 使用靠近本地出口的 DNS,确保离开本地出口的网络请求到达最近的 Microsoft 对等互连位置。

  • 排除深度包检测或其他密集网络包处理过程,满足大型延迟要求。

现代网络设备可管理 Office 365 等受信任的应用程序的网络请求,管理方式与管理不受信的通用 Internet 流量不同。随着 SD-WAN 解决方案不断涌现,流量和路径选择这样的差异也可通过感知网络状态变化(例如用户和云之间各种连接路径的时间点可用性、延迟或性能)来实现。

请参阅针对 Office 365 执行网络和迁移规划Office 365 的性能疑难解答计划Office 365 的部署规划清单,了解有关规划网络配置的其他指导。

实现此方案的方法:

与网络解决方案或与服务提供商联系,了解他们是否可使用 Office 365 URL 和来自 XML 的 IP 定义促进本地(针对用户)低开销网络出口用于 Office 365 流量,管理相对于其他应用程序的优先级,并根据不断变化的网络条件调整 Office 365 连接到 Microsoft 网络的网络路径。一些解决方案在其堆栈中下载 Office 365 URL和 IP XML 定义并使它们实现自动化。

始终确保实施的解决方案具有一定的弹性,用于 Office 365 流量的网络路径具有适当的异地冗余度,且在 Office 365 URL 和 IP 发布后可适应它们的变化。

管理员常问到的有关连接性的问题:

请单击底部的链接,指出文章是否有帮助,也可以提交任何其他问题。我们会检查反馈,并更新最常见的问题。

公布新的终结点时,在其生效并开始向其发送网络请求之前,通常有 30 天以上的缓冲时间。此缓冲时间用于确保客户和合作伙伴有机会更新其系统。在公布的同时,XML 文件中将处理 FQDN 和 IP 前缀添加和删除,这意味着使用前 30 天,XML 文件中就会有新的 FQDN。由于停止了向终结点发送网络请求,因此在公布删除它们之前就已经将其删除。公布该终结点已经没有使用时,已将其从 XML 中删除。

Office 365 终结点在每月月底发布,通知期为 30 天。偶尔一月会发生多次更改或者通知期少于 30 天。添加终结点后,RSS 源中列出的生效日期是在之后网络请求发送至终结点的日期。如果你未使用过 RSS,此处介绍如何通过 Outlook 进行订阅,你也可获取有关 RSS 源更新的电子邮件

订阅 RSS 源后,你可以自行分析信息或使用脚本进行分析。下表介绍了 RSS 源的格式,使其更易于使用。

第 1 部分

第 2 部分

第 3 部分

第 4 部分

第 5 部分

第 6 部分

说明

计数

可期望将网络请求发送到该终结点的日期。

需要该终结点的功能或服务的基本描述。

除 Internet 之外,是否可在 ExpressRoute 线路上连接到此终结点?

- 可在 Internet 和 ExpressRoute 上连接到此终结点。

- 仅可在 Internet 上连接到此终结点。

正在添加或删除的目标 FQDN 或 IP 地址范围。

示例

1/

[Effective xx/xx/xxx.

Required: <description>.

ExpressRoute:

<Yes/No>.

<FQDN/IP>],

其他注意事项,每个项都有一组常用的分隔符:

  • / - 位于计数之后

  • [ - 表示计入的项

  • . - 用于项的不同节之间

  • ], - 表示单个项的结束

  • ]。 - 表示所有项的结束

使用数据中心地图是确定租户位置的最佳方式。

与 Microsoft 对等互连中详细描述了对等位置

我们在全球拥有 2500 多个 ISP 对等关系和 70 个接入点,因此你的网络可无缝连接到我们的网络。花几分钟时间确保你的 ISP 对等关系为最佳对等关系,这不会有什么坏处,此处的几个示例展示了对等转接我们的网络时较顺利的情况和不太顺利的情况。

接受的 ExpressRoute 线路Microsoft 的 IP 范围和具体的 Office 365BGP 社区决定。

我们会定期向 Office 365 套件添加新功能和服务,扩展连接范围。如果订阅了 E3 或 E5 SKU,可简单认为终结点列表的意义在于需要使用其中所有终结点才能获取套件的完整功能。如果未订阅以上任一 SKU,则终结点数量方面的区别很小。

下图中可见 Office Online 一节中 FQDN 表的一部分提供的示例。各行按功能和连接差异排列。前两行指示 Office Online 依赖于在 Office 365 身份验证和标识以及门户和共享部分标记为“必需”的终结点。这是使 Office 365 中服务依赖于这些共享服务的典型。第三行指示客户端计算机必须能够访问 *.officeapps.live.com 才能使用 Office Online,第四行指示计算机还必须能够访问 *.cdn.office.net 才能使用 Office Online。

即使第三行和第四行均为使用 Office Online 所需,但将其分为两行以指定目标的不同:

  1. *.officeapps.live.com 不代表 CDN,这意味着对此命名空间的请求将直接发送到 Microsoft 数据中心。

  2. 使用 Microsoft 对等互连,可通过 ExpressRoute 线路访问 *.officeapps.live.com

  3. 跟随此链接可找到与 Office Online 和 *.officeapps.live.com 相关联的 IP 地址。

  4. *.cdn.office.net 表示由 Akamai 托管的 CDN,这意味着对此命名空间的请求将发送到 Akamai 数据中心。

  5. 不可通过 ExpressRoute 线路访问 *.cdn.office.net

  6. 与 Office Online 和 *.cdn.office.net 相关联的 IP 地址不可用。

终结点页面的屏幕截图

我们只提供直接通过 Internet 或 ExpressRoute 路由到 Office 365 服务器的 IP 地址。这不是所有会出现网络请求的 IP 地址的完整列表。将看到发送给 Microsoft 和第三方自有的未发布 IP 地址的网络请求。这些 IP 地址是动态生成的或管理的,发生更改时不会及时通知。如果防火墙不允许基于 FQDN 访问这些网络请求,请使用 PAC 或 WPAD 文件来管理请求。

需要了解与 Office 365 关联的 IP 的详细信息?

  1. 使用 CIDR 计算器检查该 IP 地址是否包含在已发布的较大范围内。

  2. 查看合作伙伴是否拥有含 whois 查询的 IP。如果为 Microsoft 所有,则可能是内部合作伙伴。

  3. 查看证书,在浏览器中使用 HTTPS://<IP_ADDRESS> 连接到 IP 地址,查看证书中列出的域以了解与此 IP 地址关联的域。如果 IP 地址属于 Microsoft,但不在 Office 365 IP 地址列表中,则该地址可能与 Microsoft CDN(如 MSOCDN.NET)或另一个不具有已发布 IP 信息的 Microsoft 域相关联。如果发现证书上的域确实是我们宣称列出 IP 地址的域,请告知我们。

Office 365 和其他 Microsoft 服务使用几项第三方服务(如 Akamai 和 MarkMonitor)来改进 Office 365 体验。为了尽可能提供最佳体验,我们以后可能会更改这些服务。因此我们经常会发布 CNAME 记录,这一记录指向第三方拥有的域、A 记录或 IP 地址。第三方域可能会托管 CDN 等内容,或者托管地理流量管理服务等服务。与这些第三方的连接时采用重定向或引用形式,而不是采用自客户端的初始请求形式。一些客户需确保允许通过这种形式的引用和重定向,而无需显式添加第三方服务可能使用的潜在 FQDN 长列表。

服务列表随时可能发生更改。目前正在使用的一些服务包括:

MarkMonitor。此服务提供域名称保护和监控功能,抵御恶意行为。

ExactTarget。此服务提供电子邮件链接管理和监控功能,抵御恶意行为。

Akamai。此服务提供地理 DNS 和内容交付网络服务。

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

  • 连接到第三方服务,检索基本的 Internet 服务,如 DNS 查找和 CDN 内容检索。还要连接到第三方服务以进行集成,如将 YouTube 视频整合到 OneNote 笔记本中。

  • 连接到由 Microsoft 托管和运行的次要服务,如边缘节点,使网络请求在离你的计算机最近的 Internet 位置进入 Microsoft 全局网络。作为全球第三大网络,此举会改善连接体验。还需连接到 Microsoft Azure 服务,如多种 Office 365 服务使用的 Azure 媒体服务。

  • 连接到主要 Office 365 服务,如 Exchange Online 邮箱服务器或专有的独特数据所在的 Skype for Business Online 服务器。可以通过 FQDN 或 IP 地址,使用 Internet 或 ExpressRoute 线路连接到主要 Office 365 服务。只能在 Internet 线路上使用 FQDN 连接到第三方和次要服务。

下图显示了这些服务区域之间的差异。在此图中,左下角的客户本地网络具有多个网络设备,有助于管理网络连接。对于企业客户来说,与此类似的配置很常用。如果网络中客户端计算机和 Internet 之间只有一道防火墙,这种情况也受支持,但要确保防火墙支持在允许列表规则中使用 FQDN 和通配符。

使用 Office 365 时,将显示网络终结点的三个不同类型

Office 365 是一套旨在通过 Internet 运作的服务,其所承诺的可靠性和可用性以当前可用的许多标准 Internet 服务为基础。例如,必须能访问 DNS、CRL 和 CDN 等标准 Internet 服务才能使用 Office 365,正如使用大多数现代 Internet 服务时也必须访问这些服务一样。

除了这些基本的 Internet 服务外,还有一些仅用于集成功能的第三方服务。例如,在 Microsoft Teams 中使用 Giphy.com,使客户能将 Gif 文件完美纳入 Teams 内。同样,YouTube 和 Flickr 也是第三方服务,可用于将视频和图像从 Internet 完美集成到 Office 客户端。尽管集成需要这些服务,但 Office 365 终结点文章中将它们标记为可选,这意味着如果终结点不可访问,该服务的核心功能仍可使用。

如果试图使用 Office 365,但发现第三方服务不可访问,则要确保通过代理和防火墙允许使用本文中标记为“必需”或“可选”的所有 FQDN

次要服务是不受 Office 365 控制的 Microsoft 服务。类似于边缘网络、Azure 媒体服务和 Azure 内容交付网络。这些都需要使用 Office 365,并且必须可供访问。

如果试图使用 Office 365,但发现第三方服务不可访问,则要确保通过代理和防火墙允许使用本文中标记为“必需”或“可选”的所有 FQDN

若要限制访问我们的消费者服务,需自行承担风险,阻止消费者服务的唯一可靠方法是限制对 login.live.com FQDN 的访问。此 FQDN 用于一组广泛的服务,包括 MSDN 和 TechNet 等非消费者服务。如果限制访问此 FQDN,这可能导致还需包含与这些服务关联的网络请求的规则例外。

请记住,仅阻止访问 Microsoft 消费者服务并不能防止网络中的用户使用 Office 365 租户或其他服务泄露信息。

另请参阅

Microsoft Azure Datacenter IP 范围

Microsoft 公共 IP 空间

Microsoft Intune 网络基础结构要求

Power BI 和 ExpressRoute

Office 365 URL 和 IP 范围

管理 ExpressRoute 以实现 Office 365 连接

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×