Office 365 网络连接原则

注意:  我们希望能够尽快以你的语言为你提供最新的帮助内容。 本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗? 请在此处查看本文的 英文版本 以便参考。

在开始规划您的网络Office 365网络连接之前,务必理解安全地管理Office 365通信和获得最佳性能的连接原则。本文将帮助您了解有关安全地优化Office 365网络连接的最新的指导。

传统的企业网络主要用于提供应用程序和托管强外围安全运营公司数据中心中的数据的访问权限的用户。传统模型假定用户将访问应用程序和公司网络外围,从数据,通过从分支机构的 WAN 链接或远程通过 VPN 连接。

采用 SaaS 应用程序,如Office 365移动服务和外部网络外围数据的某些组合。未优化,用户和 SaaS 应用程序之间的通信可能会延迟引入数据包检查、 网络 hairpins、 无意中连接到遥远的终结点和其他因素。您可以确保获得最佳Office 365性能和可靠性通过了解和实施关键优化准则。

在本文中,您将了解:

Office 365体系结构

Office 365是提供了各种各样的一组微服务和应用程序,例如Exchange Online、 SharePoint Online、 Skype for Business Online、 Microsoft Teams,通过生产力和协作方案分布式的软件为-服务 (SaaS) 云Exchange Online Protection、 Office Online和许多其他人。 虽然特定Office 365应用程序可能具有其唯一功能应用于客户网络和连接到云,则它们全部共享一些关键的主体、 目标和体系结构模式。这些主体和连接的体系结构模式是典型的许多其他 SaaS 云彩和同时正在相当不同的平台的服务和基础结构作为服务云彩,如Microsoft Azure 的典型部署模型.

Office 365 (即通常错过或错误解释网络规划器) 的最大建筑功能之一是它是真正的全球分布式的服务,用户如何连接到它的上下文中。 目标Office 365租户的位置,请务必了解客户数据存储在云中,其中的位置,但与Office 365的用户体验不涉及直接连接到包含数据的磁盘。 用户体验,与Office 365 (包括性能、 可靠性和其他重要质量特征) 涉及通过跨数百个 Microsoft 地点放大强烈分布式的服务顶层门连接全球。 在大多数情况下,通过允许客户网络以将用户请求传送到最接近的Office 365服务入口点,而不是连接到Office 365通过中心位置或地区的出口点实现最佳用户体验.

对于大多数客户, Office 365用户分布在多个位置。要获得最佳结果,本文中概述的原则应看从扩展 (不向上扩展) 角度来看,致力于优化连接到 Microsoft 全球网络中的状态的最近顶点,而不地理Office 365租户的位置。 实际上,这意味着,即使数据可能存储在一个特定地理位置, Office 365体验租户保持分布式,可以将其中存在非常Office 365租户关闭 (网络) 接近最终用户的每个位置的具有租户。

Office 365连接原则

Microsoft 建议下列原则,以获得最佳Office 365连接和性能。使用这些Office 365连接原则: 用于管理您的通信和连接到Office 365时获得最佳性能。

网络设计中的主要目标应该是减少往返行程时间 (RTT) 延迟最小化到 Microsoft 全球网络互连与低的延迟所有 Microsoft 数据中心的 Microsoft 的公共网络主干网络从和云应用程序入口点在全球范围内。您可以了解有关如何 Microsoft 构建其快速且可靠的全局网络在 Microsoft 全球网络的详细信息。

识别并区分Office 365通信

确定 Office 365 通信

识别Office 365网络流量是能够从通用 Internet 绑定网络流量区分该流量的第一步。可以通过实现方法如网络路由优化、 防火墙规则、 浏览器代理服务器设置和绕过的网络检查设备的某些终结点的组合优化Office 365连接。

上一个Office 365优化指导划分为两个类别,必需可选Office 365终结点。添加了终结点,以支持新Office 365服务和功能,如我们有三种类别重组Office 365终结点:优化允许默认值。对于每个类别的准则适用于在类别中,使优化更容易理解和实施所有终结点。

Office 365终结点的类别和优化方法的详细信息,请参阅新的 Office 365 终结点类别部分。

现在,Microsoft 发布为 web 服务的所有Office 365终结点,并提供有关如何充分利用此数据指导。如何获取和处理Office 365终结点的详细信息,请参阅文章Office 365 Url 和 IP 地址范围

本地出口网络连接

本地出口网络连接

本地 DNS 和 Internet 出口是入口的关键重要性降低连接延迟,并确保用户连接进行到的接近Office 365服务点。在复杂的网络拓扑中,请务必同时实施本地 DNS 和本地 Internet 出口。有关如何Office 365路由到最接近的入口点客户端连接的详细信息,请参阅文章客户端连接

之前的云服务,如Office 365出现,最终用户作为设计系数网络体系结构中的 Internet 连接的相对简单。当在全球分布 Internet 服务和网站时,任何给定的目标终结点的公司的出口点之间的延迟是距离的很大程度上的地理位置函数。

在传统网络体系结构,所有出站 Internet 连接遍历位于企业网络和出口从一个中心位置。有成熟 Microsoft 的云服务,如分布式的面向 Internet 的网络体系结构变得支持延迟敏感云服务的关键。Microsoft 全球网络旨在适应延迟要求使用分布式服务前盖基础结构,动态结构全局入口点,将发送到最接近的入口点云服务的传入连接。这是为了减小"最后一英里"长度为 Microsoft 云客户通过有效地缩短客户和云之间路由。

企业 Wan 通常旨在到出口到 Internet,通常是通过一个或多个代理服务器之前检查中央公司总部将网络流量。下图说明此类的网络拓扑。

传统的企业网络模型

因为Office 365运行上 Microsoft 全球网络,其中包括世界各地的前端服务器,通常会前端服务器接近用户的位置。通过提供本地 Internet 出口以及配置内部 DNS 服务器提供用于Office 365终结点的本地名称解析,网络流量发送到Office 365可以连接到Office 365前端服务器尽可能地向用户.下图显示了允许用户从主办公室、 分支机构和远程位置连接到最接近的Office 365入口点按照最短的路径的网络拓扑的示例。

具有区域的出口点 WAN 网络模型

缩短Office 365入口点在这种方式的网络路径可提高连接性能和最终用户体验中Office 365,还有助于减少到网络体系结构Office 365在将来的更改的影响性能和可靠性。

同时,如果响应 DNS 服务器是远忙碌 DNS 请求,就会带来延迟。可以通过调配分支机构中的本地 DNS 服务器,确保它们正确配置 DNS 记录的缓存,最小化名称解析延迟。

区域出口也适合Office 365,同时最佳连接模型将始终提供在用户的位置,而不考虑此位于企业网络或远程位置,如开始、 旅馆、 咖啡店网络出口和机场。下图中表示此本地直接出口模型。

本地出口网络体系结构

已采纳Office 365的企业可以利用 Microsoft 全球网络分布式服务前盖体系结构通过确保用户连接到Office 365 ,接近 Microsoft 全局提升最短的可能路由网络入口点。本地出口网络体系结构通过允许Office 365流量路由到最接近的出口,而不考虑用户位置来执行此操作。

本地出口体系结构传统模型相比具有下列优点:

  • 通过最佳Office 365性能优化路由长度。最终用户连接动态分布式服务前盖基础结构路由到最接近的Office 365入口点。

  • 通过允许本地出口减少企业网络基础结构的负载。

  • 利用客户端终结点的安全和云的安全功能保护两端的连接。

避免网络 hairpins

避免 hairpins

常规经验,作为用户和最接近的Office 365终结点之间的最短、 最直接路由将提供的最佳性能。WAN 或 VPN 通信绑定的特定目标首先定向到另一个中间位置 (如安全堆栈,云访问代理,基于云 web 网关),情况网络 hairpin 延迟和潜在重定向到简介遥远终结点。网络 hairpins 也可以引起路由/对等的效率低下或不理想 (远程) DNS 查找。

若要确保Office 365连接不受网络 hairpins 甚至在本地出口的情况下,检查是否用于为用户位置提供 Internet 出口 ISP 具有与 Microsoft 全局网络中直接对等关系关闭接近该位置。 您可能还要配置出口路由直接发送信任的Office 365流量,而不是代理或通过第三方云或基于云的网络安全供应商隧道处理绑定 Internet 流量。 Office 365终结点的本地 DNS 名称解析有助于确保除了直接路由中,最接近的Office 365入口点正在使用的用户连接。

如果您使用基于云的网络或Office 365通信的安全服务,确保计算 hairpinning 效果并对Office 365性能的影响已理解。 这可以通过检查的数量和服务提供商位置通过其通信转发到号码分支机构和 Microsoft 全球网络对等点,质量网络对等之间的关系的关系中的位置与您的 isp 联系 Microsoft,以及 backhauling 服务提供商基础结构中的性能影响服务提供商。

由于大量的分散Office 365入口点与它们接近于最终用户的位置,传送给任何第三方网络或安全提供商的Office 365流量可以有负面影响的Office 365连接如果提供商的网络未配置为最佳Office 365对等。

绕过代理,流量检查设备和重复的安全技术

绕过代理,流量检查设备和重复的安全技术

企业客户应查看其网络安全和风险缩减方法专门针对Office 365绑定通信和使用Office 365安全功能来减少其依赖侵入性、 性能的影响,以及便宜网络Office 365网络通信的安全技术。

大多数企业网络实施网络安全机制使用代理、 SSL 检查、 数据包检查和数据丢失保护系统等技术 Internet 流量。这些技术提供通用 Internet 请求的重要风险,但可以大大降低性能、 可伸缩性和时应用于Office 365终结点的最终用户体验的质量。

Office 365终结点的 web 服务

Office 365管理员可以使用脚本或其余呼叫来使用结构化的Office 365终结点的 web 服务的终结点的列表,并更新外围防火墙配置和其他网络设备。这将确保发往Office 365流量是标识、 正确对待和从网络流量绑定通用和通常未知 Internet 网站的不同管理。有关如何使用Office 365终结点的详细信息 web 服务,请参阅文章Office 365 Url 和 IP 地址范围

PAC (自动代理配置) 脚本

Office 365管理员可以创建可以传送到通过 WPAD 或 GPO 用户计算机的 PAC (自动代理配置) 脚本。PAC 脚本可用于绕过代理 WAN 或 VPN 用户从Office 365请求允许Office 365通信使用直接 Internet 连接,而不是遍历公司网络。

Office 365安全功能

Microsoft 是透明有关数据中心的安全、 运行安全和周围Office 365服务器和网络终结点,它们表示减少风险。Office 365内置的安全功能可用于减少网络安全风险,如数据丢失保护、 防病毒、 多重身份验证、 客户锁定框、 高级威胁保护, Office 365威胁智能, Office 365安全分数, Exchange Online Protection,和网络 DDOS 安全。

Microsoft 数据中心和全局网络安全性的详细信息,请参阅Microsoft 信任中心

新Office 365终结点类别

Office 365终结点表示网络地址和子网的不同的设置。终结点可能 Url、 的 IP 地址或 IP 范围,并与特定的 TCP/UDP 端口列出了一些终结点。Url 可以account.office.net,如 FQDN 或通配符 URL 喜欢*。 office365.com

注意: 到Office 365租户数据的位置不直接相关的网络中的 Office 365 终结点的位置。因此,客户应查看Office 365作为分布式和全局服务,并不应尝试阻止网络连接到基于地理条件Office 365终结点。

用于管理Office 365流量我们以前指导,终结点已编入必需可选的两种类别。在每个类别的终结点所需的服务,具体取决于重要程度不同优化和多个客户面临的挑战中对齐到完整的列表的Office 365 Url 和 IP 的同一网络优化的应用程序地址。

在新的模型,终结点隔离到三个类别,优化必需默认,提供有关为实现最佳性能改进的焦点网络优化工作的位置的优先级基于的数据透视表和投资回报。根据网络质量、 卷和性能信封的情形和实施轻松有效的用户体验的敏感度上述类别的整合终结点。推荐的优化可应用到给定类别中的所有端点相同的方式。

  • 优化终结点所需的每个Office 365服务的连接,占 75% Office 365带宽、 连接和数据量。这些终结点表示最敏感网络性能、 延迟和可用性的Office 365方案。Microsoft 数据中心中承载的所有终结点。此类别中的终结点的变化率应低于其他两个类别中的端点得多。此类别包含一组很少 (大约 ~ 10) 的 Url 和一组定义的 IP 子网的专用于核心Office 365工作负载,如Exchange Online、 SharePoint Online、 Skype for Business Online和Microsoft Teams键。

    明确定义的关键终结点的简洁的列表可帮助您规划和实施这些目标更快、 更方便的高值网络优化。

    优化终结点的示例包括https://outlook.office365.comhttps://<tenant>.sharepoint.comhttps://<tenant>-my.sharepoint.com

    优化方法包括:

    • 绕过或白名单优化终结点的网络设备和执行流量截取、 SSL 解密、 深度数据包检查和内容筛选的服务。

    • 绕过本地代理设备和常用的通用 Internet 浏览的基于云的代理服务。

    • 设置为完全信任您的网络基础结构和周长系统通过这些终结点的求值的优先级。

    • 优先级噪点或消除 WAN backhauling,并方便用户/分支位置尽可能近直接分布式基于 Internet 出口这些终结点。

    • 通过实现拆分隧道促进直接连接到 VPN 用户这些云终结点。

    • 确保 DNS 名称解析返回的 IP 地址匹配路由出口路径这些终结点。

    • 确定优先顺序直接、 最小的延迟路由到最近 Internet 对等点 Microsoft 全球网络 SD WAN 集成这些终结点。

  • 允许终结点所需的连接到特定Office 365服务和功能,但不是为敏感网络性能和延迟优化类别中的一样。从带宽和连接计数的角度看这些终结点的总网络占用也是显著更小。这些终结点专用于Office 365 ,并在 Microsoft 数据中心中托管。它们表示广泛的Office 365微服务和其相关性 (大约 ~ 100 Url),并希望更改的速度比优化类别中。 此类别中的不是所有终结点都具有定义专用 IP 子网相关联。

    允许终结点的网络优化可以改善 Office 365 用户体验,但有些客户可能选择范围更多这些优化窄以最小化到其网络的更改。

    允许终结点的示例包括https://*.protection.outlook.comhttps://accounts.accesscontrol.windows.net

    优化方法包括:

    • 绕过或白名单允许终结点的网络设备和执行流量截取、 SSL 解密、 深度数据包检查和内容筛选的服务。

    • 设置为完全信任您的网络基础结构和周长系统通过这些终结点的求值的优先级。

    • 优先级噪点或消除 WAN backhauling,并方便用户/分支位置尽可能近直接分布式基于 Internet 出口这些终结点。

    • 确保 DNS 名称解析返回的 IP 地址匹配路由出口路径这些终结点。

    • 确定优先顺序直接、 最小的延迟路由到最近 Internet 对等点 Microsoft 全球网络 SD WAN 集成这些终结点。

  • 默认的终结点表示Office 365服务和依赖项,不需要任何优化,并可以被视为客户网络通过普通 Internet 绑定流量。注意此类别中的某些终结点可能未托管在 Microsoft 数据中心中。示例包括https://odc.officeapps.live.comhttps://appexsin.stb.s-msn.com

有关Office 365网络优化技术的详细信息,请参阅文章管理 Office 365 终结点

比较网络外围债券的端点安全性

传统网络安全的目的是加强对入侵和恶意攻击的公司网络边界。如果组织采用Office 365,某些网络服务和数据部分或完全迁移到云。没有任何基本网络体系结构变化,因为此过程要求重新出现因素考虑在内的网络安全:

  • 采用云服务,如本地数据中心和云之间分发网络服务和数据,并且不再适合自己的外围安全。

  • 远程用户连接到企业资源在本地数据中心和不受控制的位置,例如家庭、 旅馆和咖啡店从云中。

  • 专门安全功能越来越内置云服务和可能会补充或替换现有的安全系统。

Microsoft 提供安全功能的各种Office 365和为采用安全的最佳做法可帮助您确保数据和网络安全机制Office 365的指导。推荐的最佳做法包括:

  • 使用多重身份验证 (MFA)

    MFA 通过要求用户确认电话呼叫、 短信或通过应用通知其智能手机上的正确输入其密码后向强密码策略额外的保护程序。

  • 使用Office 365云应用安全性

    设置策略,以跟踪异常活动并对其进行操作。设置与Office 365云应用程序的安全警报,以便管理员可以查看异常或风险用户活动,如下载大量数据,多失败登录尝试,或连接来自未知或危险的 IP 地址。

  • 配置数据丢失保护 (DLP)

    DLP 允许您确定敏感数据并创建策略,以帮助防止用户意外或故意共享数据。DLP 跨Office 365 ,以便用户可以保持符合而不会中断其工作流包括Exchange Online、 SharePoint Online和OneDrive正常工作。

  • 使用客户密码箱

    作为Office 365管理员,您可以使用客户密码箱控制 Microsoft 技术支持工程师帮助会话期间访问您的数据的方式。在其中工程师需要访问您的数据以进行故障诊断和解决问题的情况下,客户密码箱允许您批准或拒绝访问请求。

  • 使用Office 365安全分数

    安全分数是建议您可以执行哪些操作来进一步减少风险安全分析工具。安全分数查看您Office 365设置和活动,并将它们与 Microsoft 建立比较基准进行比较。您将获得基于您在使用安全的最佳做法如何对齐的分数。

使用整体的安全性增强应包括考虑以下事项:

  • 从终结点通过应用基于云的安全和 Office 客户端安全功能向外围安全 shift 强调效果。

    • 缩小到数据中心的安全边界

    • 启用对用户设备内部 office 或远程位置的等效信任

    • 重点保护数据的位置和用户位置

    • 托管的用户计算机具有与端点安全性更高版本信任

    • 管理所有信息安全全面,不只侧重分组框的边界

  • 重新定义 WAN 和通过允许受信任的流量绕过安全设备和分隔来宾 Wi-fi 网络到非托管的设备构建外围网络安全。

    • 减少网络的公司 WAN 边缘的安全要求

    • 减少某些网络外围安全设备如防火墙它仍然是必需的但是加载

    • 确保本地出口Office 365通信

  • 改进的增量优化节中所述的增量解决了。某些优化技巧可能提供更好地成本/收益率具体取决于您的网络体系结构,您应选择为您的组织有意义的优化。

Office 365安全和合规性的详细信息,请参阅文章的安全和合规性在 Office 365 中的概述

递增优化

我们有更早版本中这篇文章,表示为 SaaS 理想的网络连接模型,但对于许多大型组织中与过去复杂网络体系结构,它将不可行直接进行的所有这些更改。在此部分中,我们将讨论有助于提高Office 365性能和可靠性的增量更改的数目。

您将使用优化Office 365通信方法因您的网络拓扑和网络设备已实现。与很多位置和复杂的网络安全做法的大型企业需要开发的策略,其中包含大多数或所有时较小的组织可能仅在Office 365 连接原则部分中,列出的原则需要考虑一项或两个。

您可以递增过程中,为主动优化连续应用每种方法。下表列出了它们对延迟和可靠性影响的顺序的最大用户数的关键优化方法。

优化方法

说明

影响

本地 DNS 解析和 Internet 出口

配置每个位置中的本地 DNS 服务器,并确保到 Internet 尽可能接近用户的位置向该Office 365连接出口。

  • 最小化延迟

  • 改进的最接近的Office 365入口点可靠的连接

添加区域的出口点

如果您的公司网络具有多个位置,但只有一个出口点,添加区域的出口点以使用户能够连接到最接近的Office 365入口点。

  • 最小化延迟

  • 改进的最接近的Office 365入口点可靠的连接

绕过代理和检查设备

配置Office 365请求将直接发送到出口点的 PAC 文件浏览器。

配置边缘路由器和防火墙以允许而无需检测Office 365流量。

  • 最小化延迟

  • 减少网络设备上的负载

启用 VPN 用户直接连接

为 VPN 用户启用Office 365连接通过实现拆分隧道连接直接从用户的网络,而不是通过 VPN 隧道。

  • 最小化延迟

  • 改进的最接近的Office 365入口点可靠的连接

将传统 WAN 迁移到 SD WAN

SD Wan (软件定义宽区域网络) 简化 WAN 管理,并使用类似于虚拟化使用虚拟机 (虚拟机) 的计算资源的虚拟装置替换传统 WAN 路由器提高性能。

  • 提高性能和可管理性 WAN 流量

  • 减少网络设备上的负载

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×