Správa koncových bodů Office 365

Většina podnikových organizací, které mají více umístění v kanceláři a připojující se síť WAN, bude potřebovat konfiguraci pro Office 365 síťové připojení. Síť můžete optimalizovat odesláním všech důvěryhodných Office 365 síťových požadavků přímo přes bránu firewall a obejití všech dalších kontrol nebo zpracování na úrovni paketů. Tím se snižuje latence a požadavky na hraniční kapacitu. Identifikace Office 365 síťového provozu je prvním krokem při poskytování optimálního výkonu uživatelům. Další informace najdete v tématu Office 365 principy připojení k síti.

Microsoft doporučuje přistupovat ke koncovým bodům sítě Office 365 a průběžně je měnit pomocí Office 365 IP adresy a webové služby URL.

Office 365 vyžaduje připojení k internetu bez ohledu na to, jak spravujete životně důležité Office 365 síťový provoz. Další koncové body sítě, u kterých se vyžaduje připojení, jsou uvedené v části Další koncové body, které nejsou zahrnuty ve webové službě Office 365 IP adresa a adresa URL.

Způsob použití koncových bodů sítě Office 365 bude záviset na architektuře sítě vaší organizace. Tento článek popisuje několik způsobů integrace architektur podnikové sítě s Office 365 IP adresami a adresami URL. Nejjednodušší způsob, jak zvolit, kterým síťovým požadavkům důvěřovat, je použít zařízení SD-WAN, která podporují automatizovanou konfiguraci Office 365 v každé lokalitě vaší kanceláře.

SD-WAN pro odchozí přenosy místních větví důležitého síťového provozu Office 365

Na každé pobočce můžete přímo do sítě Microsoftu poskytnout zařízení SD-WAN nakonfigurované tak, aby směroval provoz pro Office 365 optimalizovat kategorii koncových bodů nebo kategorie Optimalizovat a Povolit. Další síťový provoz, včetně provozu místního datacentra, obecného provozu internetových webů a provozu do Office 365 výchozích koncových bodů kategorií, se odesílá do jiného umístění, kde máte významnější hraniční síť.

Microsoft spolupracuje s poskytovateli SD-WAN a umožňuje automatizovanou konfiguraci. Další informace najdete v tématu Office 365 Networking Partner Program.

Použití souboru PAC k přímému směrování důležitého provozu Office 365

Pomocí souborů PAC nebo WPAD můžete spravovat síťové požadavky, které jsou přidružené k Office 365, ale nemají IP adresu. Typické síťové požadavky odeslané přes proxy server nebo hraniční zařízení zvyšují latenci. I když přerušení a kontrola SSL vytváří největší latenci, další služby, jako je ověřování proxy serveru a vyhledávání reputace, můžou způsobit nízký výkon a špatné uživatelské prostředí. Kromě toho tato zařízení hraniční sítě potřebují dostatečnou kapacitu pro zpracování všech požadavků na síťové připojení. Doporučujeme obejít proxy nebo kontrolní zařízení pro přímé Office 365 síťových požadavků.

Galerie prostředí PowerShell Get-PacFile je skript PowerShellu, který čte nejnovější koncové body sítě z webové služby Office 365 IP adresy a adresy URL a vytvoří ukázkový soubor PAC. Skript můžete upravit tak, aby se integruje s existující správou souborů PAC.

Poznámka

Další informace o aspektech zabezpečení a výkonu přímého připojení ke koncovým bodům Office 365 najdete v tématu Office 365 Principy připojení k síti.

Připojení k Office 365 přes brány firewall a proxy servery

Obrázek 1 – Jednoduchá hraniční síť podniku

Soubor PAC se nasadí do webových prohlížečů v bodě 1 na obrázku 1. Pokud k přímému odchozímu přenosu důležitého Office 365 síťového provozu používáte soubor PAC, musíte také povolit připojení k IP adresám za těmito adresami URL v bráně firewall hraniční sítě. To se provádí načtením IP adres pro stejné kategorie koncových bodů Office 365, jak je uvedeno v souboru PAC, a vytvořením seznamů ACL brány firewall na základě těchto adres. Brána firewall je bod 3 na obrázku 1.

Pokud se rozhodnete provádět pouze přímé směrování pro koncové body kategorie Optimalizovat, všechny požadované koncové body kategorie Povolit, které odešlete na proxy server, budou muset být uvedené na proxy serveru, aby bylo možné obejít další zpracování. Například přerušení SSL a kontrola a ověřování proxy serveru nejsou kompatibilní s koncovými body kategorie Optimalizovat i Povolit. Proxy server je bod 2 na obrázku 1.

Běžnou konfigurací je povolit bez zpracování veškerého odchozího provozu z proxy serveru pro cílové IP adresy pro Office 365 síťový provoz, který dosáhne proxy serveru. Informace o problémech s přerušením a kontrolou SSL najdete v tématu Používání síťových zařízení nebo řešení třetích stran v Office 365 provozu.

Existují dva typy souborů PAC, které skript Get-PacFile vygeneruje.

Typ Popis
1
Odešlete na proxy server přímý provoz optimalizace koncového bodu a všechno ostatní.
2
Odešlete na proxy server přímý provoz s optimalizací a povolením provozu koncového bodu a všechno ostatní. Tento typ lze také použít k odesílání všech podporovaných ExpressRoute pro Office 365 přenosy do segmentů sítě ExpressRoute a všeho dalšího na proxy server.

Tady je jednoduchý příklad volání skriptu PowerShellu:

Get-PacFile -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7

Existuje mnoho parametrů, které můžete předat skriptu:

Parametr Popis
ClientRequestId
To je povinné a je identifikátor GUID předaný webové službě, která představuje klientský počítač provádějící volání.
Instance
Instance služby Office 365, která je ve výchozím nastavení celosvětová. To se také předá webové službě.
Název tenanta
Název vašeho Office 365 tenanta. Předává se webové službě a používá se jako nahraditelný parametr v některých adresách URL Office 365.
Typ
Typ souboru PAC proxy serveru, který chcete vygenerovat.

Tady je další příklad volání skriptu PowerShellu s dalšími parametry:

Get-PacFile -Type 2 -Instance Worldwide -TenantName Contoso -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7

Zpracování síťového provozu Office 365 obejitím proxy serveru

Pokud se soubory PAC nepoužívají pro přímý odchozí provoz, stále chcete obejít zpracování v hraniční síti konfigurací proxy serveru. Někteří dodavatelé proxy serveru povolili automatickou konfiguraci, jak je popsáno v Office 365 Networking Partner Program.

Pokud to provádíte ručně, budete muset získat data kategorie Optimalizovat a Povolit koncový bod z Office 365 IP adresy a webové služby URL a nakonfigurovat proxy server tak, aby pro tyto účely obešel zpracování. Je důležité, abyste se vyhnuli přerušení a kontrole SSL a ověřování proxy serveru pro koncové body kategorie Optimalizovat a Povolit.

Správa změn pro Office 365 IP adresy a adresy URL

Kromě výběru vhodné konfigurace pro hraniční síť je důležité, abyste pro koncové body Office 365 přijali proces správy změn. Tyto koncové body se pravidelně mění a pokud tyto změny nespravujete, můžete po přidání nové IP adresy nebo adresy URL skončit s blokovanými uživateli nebo s nízkým výkonem.

Změny IP adres a adres URL Office 365 se obvykle publikují v poslední den v měsíci. Někdy se změna publikuje mimo tento plán kvůli provozním, podpůrným nebo bezpečnostním požadavkům.

Při publikování změny, která vyžaduje, abyste jednali, protože byla přidána IP adresa nebo adresa URL, měli byste očekávat, že od publikování změny obdržíte 30denní oznámení, dokud na daném koncovém bodu nebude Office 365 služba. To se projeví jako datum účinnosti. I když se snažíme o toto období oznámení, nemusí to být vždy možné kvůli provozním, podpůrným nebo bezpečnostním požadavkům. Změny, které nevyžadují okamžitou akci pro zachování připojení, například odebrané IP adresy nebo adresy URL nebo méně významné změny, nezahrnují předběžné oznámení. V těchto případech se nezadá žádné datum účinnosti. Bez ohledu na to, jaké oznámení je k dispozici, uvádíme pro každou změnu očekávané aktivní datum služby.

Změna oznámení pomocí webové služby

K získání oznámení o změně můžete použít ip adresu Office 365 a webovou službu URL. Doporučujeme volat webovou metodu /version jednou za hodinu, abyste zkontrolovali verzi koncových bodů, které používáte pro připojení k Office 365. Pokud se tato verze ve srovnání s verzí, kterou používáte, změní, měli byste získat nejnovější data koncového bodu z webové metody /endpoints a volitelně získat rozdíly od webové metody /changes . Není nutné volat webové metody /endpoints nebo /changes , pokud nedošlo k žádné změně verze, kterou jste našli.

Další informace najdete v tématu Office 365 IP adresa a adresa URL webové služby.

Změna oznámení pomocí informačních kanálů RSS

Webová služba Office 365 IP adresa a adresa URL poskytuje informační kanál RSS, ke kterému se můžete přihlásit v Outlook. Na každé stránce specifické pro instanci služby Office 365 pro IP adresy a adresy URL jsou odkazy na adresy URL rss. Další informace najdete v tématu Office 365 IP adresa a adresa URL webové služby.

Změna oznámení a kontroly schválení pomocí Power Automate

Chápeme, že u změn koncových bodů sítě, které procházejí každý měsíc, můžete stále vyžadovat ruční zpracování. Pomocí Power Automate můžete vytvořit tok, který vás e-mailem upozorní a volitelně spustí proces schválení změn, pokud Office 365 koncové body sítě změní. Po dokončení kontroly můžete tok nechat automaticky odeslat e-mailem změny vašemu týmu pro správu brány firewall a proxy serveru.

Informace o ukázce a šabloně Power Automate najdete v tématu Použití Power Automate k přijímání e-mailů pro změny IP adres a adres URL Office 365.

nejčastější dotazy ke koncovým bodům sítě Office 365

Projděte si tyto nejčastější dotazy týkající se Office 365 připojení k síti.

Návody odeslat otázku?

Kliknutím na odkaz v dolní části uveďte, jestli byl článek užitečný nebo ne, a odešlete další otázky. Zpětnou vazbu sledujeme a aktualizujeme zde nejčastější dotazy.

Návody určit umístění tenanta?

Umístění tenanta se nejlépe určuje pomocí mapy datacentra.

Mám s Microsoftem odpovídající partnerský vztah?

Umístění partnerských vztahů jsou podrobněji popsána v partnerském vztahu s Microsoftem.

S více než 2 500 vztahy peeringu poskytovatele internetových služeb na celém počítači a 70 body přítomnosti by měl být přechod z vaší sítě do naší sítě bezproblémový. Strávit pár minut tím, že se ujistíte, že partnerský vztah poskytovatele internetových služeb je nejoptimálnější, nemůže uškodit. Tady je několik příkladů dobrých a ne tak dobrých předání partnerského vztahu s naší sítí.

Zobrazuje se mi síťové požadavky na IP adresy, které nejsou v publikovaném seznamu. Musím k nim poskytnout přístup?

Poskytujeme pouze IP adresy pro Office 365 servery, na které byste měli směrovat přímo. Toto není úplný seznam všech IP adres, pro které se zobrazí síťové požadavky. Zobrazí se síťové požadavky microsoftu a ip adres vlastněných, nepublikovaných a třetích stran. Tyto IP adresy se dynamicky generují nebo spravují způsobem, který brání včasnému upozornění na změnu. Pokud brána firewall nemůže povolit přístup na základě plně kvalifikovaných názvů domén pro tyto síťové požadavky, použijte ke správě požadavků soubor PAC nebo WPAD.

Chcete zobrazit IP adresu přidruženou k Office 365, o které chcete další informace?

  1. Pomocí kalkulačky CIDR, například pro IPv4 nebo IPv6, zkontrolujte, jestli je IP adresa zahrnutá ve větším publikovaném rozsahu. Například 40.96.0.0/13 obsahuje IP adresu 40.103.0.1, i když 40,96 neodpovídá 40,103.
  2. Zjistěte, jestli partner vlastní IP adresu pomocí dotazu whois. Pokud je vlastníkem Microsoftu, může to být interní partner. Řada koncových bodů partnerské sítě patří do výchozí kategorie, pro kterou nejsou publikované IP adresy.
  3. IP adresa nemusí být součástí Office 365 nebo závislosti. Office 365 publikování koncových bodů sítě nezahrnuje všechny koncové body sítě Microsoftu.
  4. Zkontrolujte certifikát. V prohlížeči se připojte k IP adrese pomocí HTTPS://<IP_ADDRESS> a zkontrolujte domény uvedené v certifikátu, abyste pochopili, které domény jsou přidružené k IP adrese. Pokud je to IP adresa vlastněná Microsoftem a není v seznamu Office 365 IP adres, je pravděpodobné, že je IP adresa přidružená k CDN Microsoftu, jako je MSOCDN.NET nebo jiná doména Microsoftu bez publikovaných IP informací. Pokud zjistíte, že doména v certifikátu je místo, kde se tvrdí, že uvádíme IP adresu, dejte nám vědět.

Některé Office 365 adresy URL odkazují na záznamy CNAME místo záznamů A v DNS. Co mám dělat se záznamy CNAME?

Klientské počítače potřebují záznam DNS A nebo AAAA, který obsahuje jednu nebo více IP adres pro připojení ke cloudové službě. Některé adresy URL zahrnuté v Office 365 zobrazují záznamy CNAME místo záznamů A nebo AAAA. Tyto záznamy CNAME jsou zprostředkující a v řetězci může být několik. Vždy se nakonec přeloží na záznam A nebo AAAA pro IP adresu. Představte si například následující řadu záznamů DNS, které se nakonec přeloží na IP adresu IP_1:

serviceA.office.com -> CNAME: serviceA.domainA.com -> CNAME: serviceA.domainB.com -> A: IP_1

Tato přesměrování CNAME jsou normální součástí DNS a jsou pro klientský počítač transparentní a transparentní pro proxy servery. Používají se k vyrovnávání zatížení, sítím pro doručování obsahu, vysoké dostupnosti a zmírnění incidentů služeb. Microsoft nepublikuje zprostředkující záznamy CNAME, můžou se kdykoli změnit a neměli byste je konfigurovat tak, jak je to na proxy serveru povolené.

Proxy server ověří počáteční adresu URL, která je ve výše uvedeném příkladu serviceA.office.com a tato adresa URL by byla zahrnuta do Office 365 publikování. Proxy server požádá o překlad DNS této adresy URL na IP adresu a obdrží zpět IP_1. Neověřuje zprostředkující záznamy přesměrování CNAME.

Pevně zakódované konfigurace nebo používání seznamu povolených na základě nepřímých Office 365 plně kvalifikovaných názvů domén se nedoporučuje, nepodporuje microsoft a je známo, že způsobují problémy s připojením zákazníků. Řešení DNS, která blokují přesměrování CNAME nebo která jinak nesprávně přeloží Office 365 záznamy DNS, se dají vyřešit prostřednictvím služeb předávání DNS s povolenou rekurze DNS nebo pomocí odkazů na kořenové servery DNS. Řada produktů pro hraniční síť třetích stran nativně integruje doporučený koncový bod Office 365 tak, aby do své konfigurace zahrnoval seznam povolených adres pomocí webové služby Office 365 IP adresa a adresa URL.

Proč se v názvech domén Microsoftu zobrazují názvy, jako jsou nsatc.net nebo akadns.net?

Office 365 a další služby Microsoft ke zlepšení prostředí Office 365 využívat několik služeb třetích stran, jako jsou Akamai a MarkMonitor. Abychom vám mohli poskytovat co nejlepší možnosti, můžeme tyto služby v budoucnu změnit. Domény třetích stran mohou hostovat obsah, například CDN, nebo mohou hostovat službu, jako je například služba pro správu geografického provozu. Mezi aktuálně používané služby patří:

MarkMonitor se používá, když vidíte požadavky, které obsahují *.nsatc.net. Tato služba poskytuje ochranu a monitorování názvů domén, které chrání před škodlivým chováním.

ExactTarget se používá, když vidíte požadavky na *.exacttarget.com. Tato služba poskytuje správu e-mailových odkazů a monitorování před škodlivým chováním.

Akamai se používá, když se zobrazí požadavky, které obsahují jeden z následujících plně kvalifikovaných názvů domén. Tato služba nabízí služby geografického DNS a sítě pro doručování obsahu.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

Pro Office 365 musím mít minimální možné připojení

Vzhledem k tomu, že Office 365 je sada služeb vytvořených tak, aby fungovaly přes internet, jsou přísliby spolehlivosti a dostupnosti založené na mnoha standardních dostupných internetových službách. Například standardní internetové služby, jako jsou DNS, CRL a CDN, musí být dostupné k používání Office 365 stejně, jako musí být dostupné pro používání většiny moderních internetových služeb.

Sada Office 365 je rozdělená do hlavních oblastí služeb. Je možné je selektivně povolit pro připojení a existuje společná oblast, která je závislostí pro všechny a vždy se vyžaduje.

Oblast služby Popis
Exchange
Exchange Online a Exchange Online Protection
SharePoint
SharePoint Online a OneDrive pro firmy
Online Skype pro firmy a Microsoft Teams
Skype pro firmy a Microsoft Teams
Společné
Office 365 Pro Plus, Office v prohlížeči, Azure AD a dalších běžných koncových bodech sítě

Kromě základních internetových služeb existují služby třetích stran, které se používají jenom k integraci funkcí. I když jsou potřebné pro integraci, jsou v článku o koncových bodech Office 365 označeny jako volitelné, což znamená, že základní funkce služby budou i nadále fungovat, pokud koncový bod není přístupný. Všechny požadované síťové koncové body budou mít požadovaný atribut nastavený na hodnotu true. Každý volitelný koncový bod sítě bude mít požadovaný atribut nastavený na hodnotu false a atribut notes podrobně popisuje chybějící funkce, které byste měli očekávat, pokud je připojení zablokované.

Pokud se pokoušíte použít Office 365 a zjišťujete, že služby třetích stran nejsou přístupné, budete chtít zajistit, aby všechny plně kvalifikované názvy domén označené jako povinné nebo volitelné v tomto článku byly povolené přes proxy server a bránu firewall.

Návody blokovat přístup ke službám microsoftu pro spotřebitele?

Funkce omezení tenanta teď podporuje blokování používání všech uživatelských aplikací Microsoftu (aplikací MSA), jako jsou OneDrive, Hotmail a Xbox.com. Pro koncový bod login.live.com se použije samostatná hlavička. Další podrobnosti najdete v tématu Použití omezení tenanta ke správě přístupu ke cloudových aplikacím SaaS.

Brána firewall vyžaduje IP adresy a nemůže zpracovat adresy URL. Návody ho nakonfigurovat pro Office 365?

Office 365 neposkytuje IP adresy všech požadovaných koncových bodů sítě. Některé jsou k dispozici pouze jako adresy URL a jsou kategorizovány jako výchozí. Adresy URL ve výchozí kategorii, které se vyžadují, by měly být povolené prostřednictvím proxy serveru. Pokud nemáte proxy server, podívejte se, jak jste nakonfigurovali webové požadavky na adresy URL, které uživatelé zadají do adresního řádku webového prohlížeče. Uživatel také nezadá IP adresu. Výchozí adresy URL kategorií Office 365, které neposkytují IP adresy, by měly být nakonfigurované stejným způsobem.

Webová služba adres URL a IP adres Office 365

rozsahy IP adres datacentra Microsoft Azure

Microsoft prostor veřejných IP adres

Požadavky na síťovou infrastrukturu pro Microsoft Intune

ExpressRoute a Power BI

Rozsahy adres IP a URL Office 365.

Správa ExpressRoute pro připojení Office 365

Principy připojení k síti Office 365