管理 ExpressRoute for Office 365 連線

ExpressRoute for Office 365 提供替代路由路徑以取得眾多 Office 365 服務,而不需要將所有流量輸出到網際網路。雖然仍然需要 Office 365 的網際網路連線,除非您的網路中有其他設定,否則 Microsoft 透過 BGP 宣告到您的網路之特定路由會讓直接 ExpressRoute 迴路變成慣用。您可能會想要設定為管理此路由的三個常用區域包括前置詞篩選、安全性和合規性。

附註: Microsoft 變更了將 Microsoft 對等路由網域送交 Azure ExpressRoute 檢閱的方式。自 2017 年 7 月 31 日起,所有 Azure ExpressRoute 客戶都可以直接從 Azure 系統管理主控台或透過 PowerShell 啟用 Microsoft 對等。啟用 Microsoft 對等之後,任何客戶都能建立路由篩選器,以接收 Dynamics 365 Customer Engagement 應用程式 (先前稱為 CRM Online) 的 BGP 路由廣告。需要 Azure ExpressRoute for Office 365 的客戶必須經過 Microsoft 的檢閱,才能建立 Office 365 的路由篩選器。請連絡您的 Microsoft 帳戶小組,了解如何要求審閱以啟用 Office 365 ExpressRoute。嘗試建立 Office 365 路由篩選器的未經授權訂閱會收到錯誤訊息

前置詞篩選

Microsoft 建議客戶接受 Microsoft 公告的所有 BGP 路由,我們提供給您的路由都經過嚴格的審查和驗證處理程序,因此毋須另外審核。ExpressRoute 以原生方式提供 IP 前置詞擁有權、完整性和調整等建議控制項,不含客戶端的輸入路由篩選。

如果您要求 ExpressRoute 公用對等上之路由擁有權的額外驗證,您可以根據代表 Microsoft 的公用 IP 範圍之所有 IPv4 和 IPv6 IP 前置詞清單來檢查公告的路由。這些範圍涵蓋完整的 Microsoft 位址空間而且不常變更,提供一組可靠的範圍來篩選,也為擔心非 Microsoft 擁有的路由滲入其環境之客戶提供額外的保護。萬一有變更,變更會在每月的 1 日發生,而每當檔案更新時,頁面的詳細資料區段中之版本號碼也會變更。

避免使用 Office 365 URL 和 IP 位址範圍來產生前置詞篩選清單有幾個原因,包括︰

  • Office 365 IP 前置詞會頻繁經歷許多變更。

  • Office 365 URL 和 IP 位址範圍是專為管理防火牆允許清單和 Proxy 基礎結構設計,而不是路由。

  • Office 365 URL 和 IP 位址範圍不會涵蓋可能在您 ExpressRoute 連線的範圍內之其他 Microsoft 服務。

選項

複雜度

變更控制

接受所有 Microsoft 路由

低:客戶依靠 Microsoft 管控來確保所有路由皆已正確擁有。

篩選 Microsoft 擁有的超網路 (supernet)

中:客戶實作摘要的前置詞篩選清單,只允許 Microsoft 擁有的路由。

客戶必須確保路由篩選中反映不頻繁的更新。

篩選 Office 365 IP 範圍

警告: 不建議

高:客戶根據定義的 Office 365 IP 前置詞來篩選路由。

客戶必須針對每月更新實作強大的變更管理處理程序。

注意: 此解決方案需要大幅持續進行的變更。未及時實作的變更可能會導致服務中斷。

透過 Azure ExpressRoute 連線到 Office 365 是基於代表已部署 Office 365 端點的網路之特定 IP 子網路的 BGP 公告。由於 Office 365 的全域本質和構成 Office 365 的服務數目,客戶經常需要管理他們網路上所接受的公告。如果您擔心公告到您環境的前置詞數量,BGP 社群功能可讓您將公告篩選成一組特定的 Office 365 服務。此功能目前處於預覽階段。

在與單獨透過網際網路迴路連線到 Office 365 比較時,不論您如何管理來自 Microsoft 的 BGP 路由公告,您都不會以任何特殊方式暴露到 Office 365 服務。不論客戶使用哪種類型的迴路連線到 Office 365,Microsoft 都會維持相同的安全性、合規性和效能等級。

安全性

針對往返於 ExpressRoute 公用和 Microsoft 對等的連線 (這包括往返於 Office 365 服務的連線),Microsoft 建議您維持自己的網路和安全性周邊控制。針對從您的網路輸出到 Microsoft 的網路以及從 Microsoft 的網路輸入到您的網路之網路要求,應有周全的安全性控制。

從客戶輸出到 Microsoft

當電腦連線到 Office 365 時,不論連線是透過網際網路還是 ExpressRoute 迴路建立,它們都會連線到同一組端點。不論使用哪一個迴路,Microsoft 都建議您將 Office 365 服務視為比一般網際網路目的地更可信賴。您的輸出安全性控制應著重於連接埠和通訊協定,以減少曝光率並將持續進行的維護減到最少。Office 365 端點參考文章中提供必要的連接埠資訊。

針對新增的控制,您可以在您的 Proxy 基礎結構內使用 FQDN 層級篩選,以限制或檢查前往網際網路或 Office 365 的部分或全部網路要求。隨著功能發佈,同時維護 FQDN 清單,而對已發佈的 Office 365 端點,Office 365 方案演進需要更強大的變更管理和變更追蹤。

警告: Microsoft 建議您不要單獨依靠 IP 前置詞來管理輸出到 Office 365 的安全性。

選項

複雜度

變更控制

沒有限制

低:客戶允許無限制之輸出到 Microsoft 的存取。

連接埠限制

低:客戶按照預期的連接埠限制輸出到 Microsoft 的存取。

不常。

FQDN 限制

高:客戶根據已發佈的 FQDN 限制輸出到 Office 365 的存取。

每月變更。

從 Microsoft 輸入到客戶

有幾個要求 Microsoft 啟動連線到您的網路之選用案例。

為降低複雜度,Microsoft 建議透過您的網際網路迴路 (而不是您的 ExpressRoute 迴路) 接受這些連線。如果您的合規性或效能需求指定必須透過 ExpressRoute 迴路接受這些輸入連線,建議使用防火牆或反向 Proxy 來審視接受的連線。您可以使用 Office 365 端點得知正確的 FQDN 和 IP 前置詞。

合規性

我們不會依靠將您使用的路由路徑用於我們的任何合規性控制。不論您是透過 ExpressRoute 或網際網路迴路連線到 Office 365 服務,我們的合規性控制都不會變更。您應檢閱 Office 365 的不同合規性與安全性認證層級,以找出符合貴組織之需求的最佳選擇。

您可以使用下列短連結返回這裡:https://aka.ms/manageexpressroute365

相關主題

內容傳遞網路
Office 365 URL 與 IP 位址範圍
管理 Office 365 端點
Azure ExpressRoute for Office 365 訓練

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×