Office 365 的網路連線原則

附註:  我們想要以您的語言,用最快的速度為您提供最新的說明內容。 本頁面是經由自動翻譯而成,因此文中可能有文法錯誤或不準確之處。讓這些內容對您有所幫助是我們的目的。希望您能在本頁底部告訴我們這項資訊是否有幫助。 此為 英文文章 出處,以供參考。

規劃您的網路Office 365網路連線之前,務必瞭解安全地管理Office 365流量,可能的最佳效能的連線原則。本文將協助您瞭解安全地最佳化Office 365網路連線的最新的指導方針。

傳統企業網路主要被設計來提供使用者存取應用程式與由公司營運資料中心的周邊安全的資料。傳統模型假設,使用者會存取應用程式和公司網路外圍,內的資料,透過 WAN 連結,從分公司,或從遠端 VPN 連線。

採用 SaaS 應用程式,例如Office 365移動服務與外部網路外圍資料的一些組合。最佳化,不使用者和 SaaS 應用程式之間的流量會受到延遲引入封包檢查、 網路 hairpins、 無意間遠距結束點連線和其他因素。您可以確保的最佳Office 365效能及可靠性,以瞭解和實作金鑰最佳化指導方針。

在本文中,您將學習如何:

Office 365架構

Office 365是提供生產力和共同作業的分析藍本,透過微服務及應用程式,例如Exchange Online、 SharePoint Online、 商務用 Skype OnlineMicrosoft Teams,一組分散式的軟體為-的-服務 (SaaS) 雲端Exchange Online Protection、 Office Online和許多其他人。 時特定Office 365應用程式可能會有其專屬的功能,套用至客戶網路和連線至雲端,且全都共用一些關鍵原則、 目標和架構圖樣。這些原則和連線的架構模式是一般的許多其他 SaaS 雲朵並同時被完全不同的平台為-的-服務和基礎結構為-的-服務雲朵,例如Microsoft Azure 的一般部署模型.

其中一個最重要Office 365 (通常未接或的網路規劃誤解) 建築功能是 _z0z_ 的它是 _z0z_ 的真正全域分散式的服務的使用者如何連線至該內容中。 目標Office 365租用戶的位置,了解位置的客戶資料儲存在雲端,但使用Office 365的使用者體驗不涉及直接連接到包含資料的磁碟。 使用Office 365 (包括效能、 可靠性和其他重要品質特性) 的使用者體驗涉及透過 Microsoft 位置數百跨橫向高度分散式的服務正面門的連線全球。 在大多數的情況下,讓客戶網路,將使用者要求路由至最接近的Office 365服務進入點,而不是連線到Office 365透過中央位置或地區中出口端點達到最佳的使用者體驗.

大部分的客戶, Office 365使用者分散到多個位置。若要獲得最佳結果,此文件中所說明的原則應該會看觀點擴充 (不調),將焦點放在最佳化連線至 Microsoft 全域網路中的目前狀態的最接近的點,而非地理Office 365租用戶的位置。 實際上,這表示,即使Office 365租用戶資料可能會儲存在特定地理位置, Office 365體驗的租用戶分散式仍然可以出現在非常接近 (網路) 的每個使用者位置的具有租用戶。

Office 365連線原則

Microsoft 建議下列原則達到最佳Office 365連線與效能。管理您的流量和獲得最佳效能,連線至Office 365時使用這些Office 365連線原則。

網路設計中的主要目標應該是以縮小延遲來減少來回時間 (RTT) 從您的網路到 Microsoft 全域網路,連接的 Microsoft 資料中心所有低延遲的 Microsoft 公用網路骨幹與雲端世界各地的分配的應用程式進入點。您可以進一步瞭解 Microsoft 全域網路如何 Microsoft 建置其快速和可靠的全域網路

識別並區分Office 365流量

找出 Office 365 流量

識別Office 365網路流量是能夠流量區別一般網際網路繫結網路流量的第一個步驟。最佳化Office 365連線,透過實作種方法像網路路由最佳化、 防火牆規則、 瀏覽器 proxy 設定] 和 [略過網路檢查裝置的特定端點的組合。

上一個Office 365最佳化指南分成必要選用的兩個類別的Office 365結束點。為支援新Office 365服務和功能已新增端點,我們已重新Office 365端點組織成三個類別:最佳化允許預設值。每個類別的指導方針適用於所有的結束點,在類別] 讓您更容易瞭解及實作最佳化。

如需Office 365端點類別和最佳化方法的詳細資訊,請參閱 [新的 Office 365 端點類別] 區段。

Microsoft 立即將所有Office 365端點都發佈為 web 服務,並提供如何使用這項資料的指引。如需有關如何擷取及處理Office 365端點的詳細資訊,請參閱Office 365 Url 與 IP 位址範圍文章。

本機出口網路連線

本機出口網路連線

本機 DNS 和網際網路出口為重要的減少連線的延遲時間,並確保的使用者連線至最接近的點Office 365服務的項目。在複雜的網路拓撲,請務必實作本機 DNS 和本機網際網路出口都放在一起。如需有關如何Office 365路由至最接近的點的項目的用戶端連線的詳細資訊,請參閱用戶端連線

之前的雲端服務,例如Office 365降臨節,都是相當簡單使用者設計因素網路架構的網際網路連線。網際網路服務和網站分散各地,公司的出口端點與任何指定的目的結束點之間的延遲時,大部分的地理距離函數。

在傳統網路架構,所有輸出網際網路連線往返公司網路,然後從中央位置的出口。成熟 Microsoft 的雲端方案,因為分散式的具網際網路網路架構變得重要的支援區分延遲的雲端服務。Microsoft 全域網路的設計是以容納延遲要求分散式服務前端基礎結構,路由連入雲端服務連線到最接近的項目點動態結構的全域進入點。這是以減少長度的 「 最後一步] 的 Microsoft 雲端客戶的有效縮短客戶與雲端之間傳送。

企業 Wan 通常被設計檢查之前出口至網際網路,通常是透過一或多個 proxy 伺服器的中央公司總部 backhaul 網路流量。下圖說明這類的網路拓撲。

傳統企業網路模型

因為Office 365執行 Microsoft 全域網路,包括世界各地的前端伺服器,通常會前端伺服器靠近使用者的位置。網路流量目的Office 365提供本機網際網路出口並設定為Office 365端點提供本機名稱解析內部 DNS 伺服器,可以連線至為關閉,使用者可能Office 365前端伺服器.下圖顯示的網路拓撲,可讓使用者從主要的 office、 分公司及遠端位置連線至最接近的Office 365進入點追蹤最短的路線的範例。

WAN 網路模型與地區的出口端點

縮短網路路徑Office 365進入點,以這種方式可以改善連線效能並使用者經驗Office 365,也可以協助降低網路架構在Office 365未來變更的影響效能與可靠性。

此外,如果回應的 DNS 伺服器是距或忙碌 DNS 要求可能導致延遲。您可以最小化名稱解析延遲佈建分支位置中的本機 DNS 伺服器,並確定其適當地設定為 [快取的 DNS 記錄。

最佳連線模型時地區出口可以適用於Office 365,就會永遠提供使用者的位置,而不論是否將公司網路或遠端位置,例如常用、 飯店、 咖啡廳網路出口和將 airports。下圖中表示此本機直接出口模型。

本機出口網路架構

企業採用Office 365可以利用 Microsoft 全域網路分散式服務前端架構確保Office 365使用者連線至最接近 Microsoft 全域看最短的可能路由網路進入點。本機出口網路架構的運作方式允許Office 365流量路由傳送移到最接近的出口,無論使用者的位置。

本機出口架構在傳統的模型有下列好處:

  • 提供最佳Office 365效能最佳化路由長度。使用者連線動態路由至最接近的Office 365進入點分散式服務前端基礎結構。

  • 藉由使用本機出口減少負載公司網路基礎結構。

  • 利用用戶端端點安全性和雲端安全性功能來保護兩端的連線。

避免網路 hairpins

避免 hairpins

一般法則,為使用者和最接近的Office 365端點之間最短、 最直接路由會提供最佳效能。WAN 或 VPN 流量繫結的特定的目的地第一次導向至另一個中間的位置 (例如安全性堆疊,雲端存取代理人的雲端網頁閘道器),情況網路 hairpin 介紹延遲和可能重新導向至遠距端點。網路 hairpins 也可能造成路由/對等的效率或不理想 (遠端) DNS 查閱。

若要確保Office 365連線不網路 hairpins,即使在本機的出口情況下,核取可讓使用者所在位置的網際網路出口 ISP 是否具有 Microsoft 全域中與網路直接對等的關係關閉鄰近範圍到該位置。 您也可以在設定出口直接傳送信任的Office 365流量路由,而不是 proxy 或通道透過協力廠商的雲端或雲端網路安全性廠商的程序將網際網路繫結流量。 本機 DNS 名稱解析Office 365結束點,可協助確保,除了直接路由],最接近的Office 365進入點時使用的是使用者連線。

如果您使用雲端網路或您Office 365流量的安全性服務,請確定 hairpinning 效果會評估,和了解對Office 365效能的影響。 這可以檢查的數字與服務提供者位置透過流量轉送分公司及 Microsoft 全域網路對等的點,品質網路對等的關聯性的數字的關聯性中的位置您的 isp 連絡 Microsoft 和 backhauling 服務提供者基礎結構中的效能影響與服務提供者。

分散位置Office 365進入點與使用者對於鄰近大量,因為Office 365流量到任何第三方網路或安全性提供者具有負面影響Office 365連線如果沒有設定最佳Office 365對等的提供者的網路。

略過 proxy,流量檢查裝置和重複安全性技術

略過 proxy,流量檢查裝置和重複安全性技術

企業客戶應該檢閱其網路安全性和風險縮減方法專為Office 365繫結流量,並使用Office 365安全性功能來減少其侵入依賴、 效能的影響,以及昂貴的網路安全性技術Office 365網路流量。

大部分的企業網路強制執行網路使用 proxy、 SSL 檢查、 封包檢查及資料遺失防止系統等技術的網際網路流量的安全性。這些技術提供的一般網際網路要求降低重要的風險,但大幅降低效能與延展性套用至Office 365端點時的使用者體驗的品質。

Office 365結束點 web 服務

使用結構化的結束點從Office 365端點 web 服務清單,並更新的外圍防火牆設定與其他網路裝置Office 365系統管理員可以使用指令碼或其他電話。這樣就能確定流量Office 365限制是識別、 適當處理並以不同的方式管理繫結的一般和通常未知的網際網路網站的網路流量。如需有關如何使用Office 365端點 web 服務,請參閱Office 365 Url 與 IP 位址範圍

PAC (Proxy 自動設定) 的指令碼

Office 365系統管理員可以建立可傳送給使用者的電腦,透過 WPAD 或 GPO PAC (Proxy 自動設定) 指令碼。PAC 指令碼可以用於略過 proxy 的Office 365要求 WAN 或 VPN 的使用者,允許Office 365流量使用直接網際網路連線,而不是在公司網路。

Office 365安全性功能

Microsoft 是透明的資料中心的安全性、 操作安全性和Office 365伺服器,以及代表網路端點降低風險的相關項目。降低網路安全性風險,例如防止資料遺失、 防毒軟體、 多重因素驗證、 客戶鎖定方塊、 進階威脅保護, Office 365威脅智慧, _ 可Office 365內建安全性功能z3z_保護分數, Exchange Online Protection,及網路 DDOS 安全性。

如需有關 Microsoft 資料中心和全域網路安全性的詳細資訊,請參閱Microsoft 信任中心

新的Office 365端點類別

Office 365結束點代表不同的網路位址和子網路。結束點可能 Url、 IP 位址或 IP 範圍,而某些結束點會列出與特定的 TCP/UDP 連接埠。Url 可以是 FQDN account.office.net,例如,或是想要的萬用字元 URL *。 office365.com

附註: Office 365 的網路中的結束點的位置不直接相關Office 365租用戶資料的位置。如此一來,客戶應該看看Office 365為分散式和全域服務,而且不應該嘗試封鎖Office 365端點根據地理準則的網路連線。

管理Office 365流量我們先前指引,結束點組織成必要選用的兩種類別。在每個類別的結束點必要的服務,不同最佳化嚴重性,許多客戶遇到的挑戰對齊的應用程式的完整清單相同的網路最佳化的Office 365 Url 與 IP地址。

在新的模型,結束點被隔離成三個類別,最佳化必要預設值,提供最佳的增強效能的焦點網路最佳化努力位置優先順序為基礎的樞紐分析及傳回投資報酬率。結束點會根據網路品質、 音量和效能信封的案例並簡化實作的有效的使用者體驗的敏感度上述類別中合併。指定類別中的所有端點的相同方式,可以套用建議的最佳化。

  • 最佳化端點所需的每個Office 365服務的連線,並代表超過 75%的Office 365頻寬、 連接和大量的資料。這些端點代表會區分網路效能、 延遲和可用的Office 365案例。所有的端點都裝載於 Microsoft 資料中心。變更此類別中的端點率預期遠低於其他兩個類別中的端點。此類別包括的鍵核心Office 365工作量,例如Exchange Online、 SharePoint Online、 商務用 Skype Online和Microsoft Teams專用的 Url 與 IP 子網路定義的設定的很小 (於 ~ 10) 設定。

    壓縮的清單定義良好的要徑端點應能助您規劃與實作高值網路最佳化的下列目的地更快且更容易。

    最佳化結束點的範例包括https://outlook.office365.comhttps://<tenant>.sharepoint.comhttps://<tenant>-my.sharepoint.com

    最佳化的方法如下:

    • 略過或 whitelist最佳化的端點上網路裝置及執行流量攔截 SSL 解密、 深層封包檢查與內容篩選的服務。

    • 內部部署 proxy 裝置和一般網際網路上瀏覽常用的雲端 proxy 服務會略過。

    • 排列優先順序,為您的網路基礎結構及周長系統完全信任這些端點的評估。

    • 排列優先順序縮小或刪除的 WAN backhauling,並協助直接分散式的網際網路出口端點的使用者/分支位置盡可能接近。

    • 藉由實作分割通道促進直接連線至雲端端點 VPN 使用者。

    • 請確定 DNS 名稱解析所傳回的 IP 位址符合這些端點的路由出口路徑。

    • 排列優先順序 SD WAN 整合直接的最小的延遲路由至最接近的網際網路對等點 Microsoft 全域網路的端點。

  • 允許端點所需的連線至特定Office 365服務和功能,但不是為寫網路效能及 [最佳化] 類別中的延遲。從頻寬和連線計算的觀點來看這些端點的整體網路使用量也是小得多。這些端點專門用來Office 365 ,並會裝載於 Microsoft 資料中心。他們代表廣泛的Office 365微服務和相依性 (於 ~ 100 Url),都必須在較高的工資率,於 [最佳化] 類別中的變更。 並非所有此類別中的端點是定義專用的 IP 子網路與相關聯。

    允許端點網路最佳化可以改善 Office 365 使用者體驗,但某些客戶可以選擇範圍的更多最佳化,窄以最小化變更他們的網路。

    允許結束點的範例包括https://*.protection.outlook.comhttps://accounts.accesscontrol.windows.net

    最佳化的方法如下:

    • 略過或 whitelist允許的端點上網路裝置及執行流量攔截 SSL 解密、 深層封包檢查與內容篩選的服務。

    • 排列優先順序,為您的網路基礎結構及周長系統完全信任這些端點的評估。

    • 排列優先順序縮小或刪除的 WAN backhauling,並協助直接分散式的網際網路出口端點的使用者/分支位置盡可能接近。

    • 請確定 DNS 名稱解析所傳回的 IP 位址符合這些端點的路由出口路徑。

    • 排列優先順序 SD WAN 整合直接的最小的延遲路由至最接近的網際網路對等點 Microsoft 全域網路的端點。

  • 預設的結束點代表Office 365服務和相依性,不需要任何最佳化,並且可以被視為客戶網路的標準網際網路繫結流量。請注意此類別中的某些結束點可能不裝載在 Microsoft 資料中心。範例包括https://odc.officeapps.live.comhttps://appexsin.stb.s-msn.com

如需有關Office 365網路最佳化技術的詳細資訊,請參閱管理 Office 365 結束點

比較網路周邊的安全性與端點安全性

傳統網路安全性的目標是強化公司網路外的圍針對侵入和惡意攻擊。為組織採用Office 365,某些網路 services 和資料會部分或完全移轉至雲端。如有任何基本網路架構的變更,此程序需要網路安全性的考量因素新重新評估:

  • 採用雲端服務,因為網路服務與資料分散之間的資料中心內部部署與雲端,而且不再適當自己外圍安全性。

  • 遠端使用者連線至企業內部部署資料中心的並不受控制的位置,例如房屋資料庫、 飯店或咖啡店從雲端中的資源。

  • 特殊用途的安全性功能會逐漸內建到雲端服務和可以潛在補充或取代現有的保全系統。

Microsoft 提供各式各樣的Office 365安全性功能,並提供指引可用於採用安全性可協助您合作以確保資料和網路Office 365安全性的最佳作法。建議的最佳作法包括下列各項:

  • 使用多重因素驗證 (MFA)

    MFA 強式密碼策略新增額外的保護層級,要求使用者,確認電話、 文字訊息或應用程式通知他們智慧型手機上之後正確輸入使用者的密碼。

  • 使用Office 365雲端應用程式的安全性

    設定原則,以追蹤異常的活動和採取的行動。設定與Office 365雲端應用程式的安全性提醒,讓系統管理員可以檢閱異常或危險使用者活動,如下載大量資料,多無法登入嘗試,或來自未知或危險 IP 位址。

  • 設定防止資料遺失 (DLP)

    DLP 可讓您找出機密資料,並建立原則,以協助防止使用者意外或故意共用資料。DLP 跨Office 365包括Exchange Online、 SharePoint Online,以及OneDrive ,讓使用者不會中斷工作流程可以保持相容。

  • 使用客戶 Lockbox

    身為Office 365管理員,您可以使用客戶 Lockbox 控制 Microsoft 技術支援工程師說明工作階段期間存取您的資料的方式。客戶 Lockbox 工程需要存取您的資料來疑難排解並修正問題的情況下,可讓您核准或拒絕要求存取權限。

  • 使用Office 365安全分數

    安全的分數是建議您如何進一步降低風險的安全性分析工具。安全的成績查看您的活動和Office 365設定,並將其與比較由 Microsoft 所建立的比較基準。您會收到分數,根據如何對齊後的安全性的最佳作法。

增強安全性的全面性方法應該包含下列考量:

  • 從根據套用雲端的端點安全性和 Office 用戶端安全性功能的外圍安全性 shift 強調。

    • 縮小字型以資料中心的安全性外圍欄

    • 啟用使用者的裝置內的 office,或在遠端位置相當於信任

    • 焦點放在保護資料的位置和使用者的位置

    • 受管理的使用者電腦有端點安全性與信任

    • 管理所有資訊的安全性,而不只在外圍焦點

  • 重新定義 WAN 和建置周邊網路的安全性,允許信任的流量略過安全性裝置分隔來賓 Wi-fi 網路未受管理的裝置。

    • 降低網路的公司 WAN 邊緣的安全性需求

    • 減少某些網路外圍安全性裝置例如防火牆仍必要,但載入

    • 可確保本機出口Office 365流量

  • 改良功能可以累加最佳化一節所述的累加收件者。某些最佳化技巧可以提供更佳的成本效益比例,視您的網路架構,而定,您應該選擇最適合貴組織的最佳化。

如需有關Office 365安全性和法規遵循的詳細資訊,請參閱概觀安全性和法規遵循在 Office 365 中的文件。

累加最佳化

我們有表示理想的網路連線模型 SaaS 稍早的本文中,但若是具有過去複雜的網路架構的許多大型組織,就不會實際直接所有這些變更。在此區段中,我們討論累加的變更,以協助改善Office 365效能與可靠性數的字。

您將會用來最佳化Office 365流量的方法會根據您的網路拓撲和網路裝置有實作而有所不同。與多個位置複雜的網路安全性作法的大型企業需要開發策略包含最或所有時較小的組織可能只會在Office 365 連線原則] 區段中所列的原則必須考量下列一或兩個。

進行最佳化累加程序,連續套用每一種方法。下表列出金鑰最佳化方法延遲和可靠性其效果的順序的最大的使用者數目。

最佳化方法

描述

影響

本機 DNS 解析和網際網路出口

佈建每個位置中的本機 DNS 伺服器,並確保到網際網路時關閉使用者的位置,讓該Office 365連線出口。

  • 最小化延遲

  • 改善可靠的連線至最接近的Office 365進入點

新增地區的出口端點

如果您的公司網路會有多個位置,但只有一個出口端點,新增地區的出口端點,讓使用者可以連線到最接近的Office 365進入點。

  • 最小化延遲

  • 改善可靠的連線至最接近的Office 365進入點

略過 proxy 和檢查裝置

設定瀏覽器Office 365要求直接傳送到出口端點的 PAC 檔案。

設定邊緣路由器防火牆以允許Office 365流量,而不檢查]。

  • 最小化延遲

  • 減少載入的網路裝置

啟用 VPN 使用者的直接連線

如果 VPN 使用者啟用Office 365連線,直接從使用者的網路,而非透過 VPN 通道實作分割通道。

  • 最小化延遲

  • 改善可靠的連線至最接近的Office 365進入點

傳統 WAN 移轉到 SD WAN

SD Wan (軟體定義寬區域網路) 簡化 WAN 管理,並以傳統 WAN 路由器取代虛擬設備,類似於使用虛擬機器 (Vm) 的計算資源的虛擬化提升效能。

  • 改善效能與管理能力的 WAN 流量

  • 減少載入的網路裝置

增進您的 Office 技巧
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×