Zabezpečení přenosů médií v Teams pro dělené tunelování VPN
Poznámka
Tento článek je součástí sady článků, které se týkají optimalizace Microsoftu 365 pro vzdálené uživatele.
- Přehled použití rozděleného tunelového propojení VPN k optimalizaci připojení Microsoft 365 pro vzdálené uživatele najdete v tématu Přehled: Dělené tunelové propojení VPN pro Microsoft 365.
- Podrobné pokyny k implementaci rozděleného tunelového propojení VPN najdete v tématu Implementace rozděleného tunelového propojení VPN pro Microsoft 365.
- Podrobný seznam scénářů rozděleného tunelování VPN najdete v tématu Běžné scénáře rozděleného tunelového propojení VPN pro Microsoft 365.
- Informace o tom, jak nakonfigurovat stream a živé události v prostředích VPN, najdete v tématu Zvláštní aspekty pro stream a živé události v prostředích VPN.
- Informace o optimalizaci výkonu tenanta Microsoftu 365 po celém světě pro uživatele v Číně najdete v tématu Optimalizace výkonu Microsoftu 365 pro uživatele z Číny.
Někteří správci Microsoft Teams můžou vyžadovat podrobné informace o tom, jak fungují toky volání v Teams pomocí modelu rozděleného tunelování a jak jsou připojení zabezpečená.
Konfigurace
Pro hovory i schůzky platí, že pokud jsou ve směrovací tabulce správně nastavené požadované podsítě Optimalizovat podsítě PROTOKOLU IP pro média Teams, když Teams zavolá funkci GetBestRoute , aby určila, které místní rozhraní odpovídá trase, kterou má použít pro konkrétní cíl, vrátí se místní rozhraní pro cíle Microsoftu v blocích Microsoft IP uvedených výše.
Některý klientský software VPN umožňuje manipulaci se směrováním na základě adresy URL. K provozu médií Teams ale není přidružená žádná adresa URL, takže řízení směrování tohoto provozu se musí provádět pomocí podsítí PROTOKOLU IP.
V určitých scénářích, které často nesouvisejí s konfigurací klienta Teams, provoz médií stále prochází tunelem VPN i se správnými trasami. Pokud narazíte na tento scénář, mělo by stačit použít pravidlo brány firewall, které zablokuje podsítě IP nebo porty Teams v používání sítě VPN.
Důležité
Pokud chcete zajistit, aby se provoz médií Teams směroval přes požadovanou metodu ve všech scénářích VPN, ujistěte se, že uživatelé používají klienta Microsoft Teams verze 1.3.00.13565 nebo vyšší. Tato verze obsahuje vylepšení způsobu, jakým klient rozpozná dostupné síťové cesty.
Signalizace provozu se provádí přes PROTOKOL HTTPS a není tak citlivá na latenci jako přenosy médií. V datech adresy URL/IP je označená jako Povolit , a proto se dá v případě potřeby bezpečně směrovat přes klienta VPN.
Poznámka
Microsoft Edge 96 a novější podporuje také rozdělené tunelové propojení VPN pro přenosy mezi dvěma účastníky. To znamená, že zákazníci můžou například získat výhodu rozděleného tunelového propojení VPN pro webové klienty Teams na Edgi. Zákazníci, kteří ho chtějí nastavit pro weby spuštěné v Edgi, toho můžou dosáhnout tím, že pomocí dalšího kroku zakáže zásadu Edge WebRtcRespectOsRoutingTableEnabled .
Zabezpečení
Jedním z běžných argumentů, jak se vyhnout rozděleným tunelům, je, že je to méně bezpečné. To znamená, že žádný provoz, který neprochází tunelem VPN, nebude těžit z jakéhokoli schématu šifrování použitého u tunelu VPN, a proto je méně bezpečný.
Hlavním protiprotokolovým argumentem je to, že provoz médií je už šifrovaný prostřednictvím protokolu SRTP (Secure Real-Time Transport Protocol), což je profil protokolu Real-Time Transport Protocol (RTP), který poskytuje ochranu před přenosy protokolu RTP(utajení, ověřování a přehrání). Samotná služba SRTP spoléhá na náhodně vygenerovaný klíč relace, který se vyměňuje prostřednictvím zabezpečeného signalizačního kanálu TLS. Toto je podrobně popsáno v tomto průvodci zabezpečením, ale primární částí zájmu je šifrování médií.
Provoz médií se šifruje pomocí protokolu SRTP, který používá klíč relace vygenerovaný zabezpečeným generátorem náhodných čísel a vyměňovaný pomocí signalizačního kanálu TLS. Kromě toho se pomocí protokolu SRTP šifrují také média, která proudí v obou směrech mezi mediačním serverem a jeho interním dalším segmentem směrování.
Skype pro firmy Online generuje uživatelská jména a hesla pro zabezpečený přístup k přenosům médií přes procházení pomocí relé kolem překladu adres (TURN). Přenosy médií si vyměňují uživatelské jméno a heslo přes kanál SIP zabezpečený protokolem TLS. Stojí za zmínku, že i když se k připojení klienta k podnikové síti může použít tunel VPN, provoz stále musí proudit v podobě PROTOKOLU SRTP, když opustí podnikovou síť, aby se dostal ke službě.
Informace o tom, jak Teams zmírňují běžné bezpečnostní problémy, jako jsou hlasové útoky nebo útoky na zesílení STUN (Session Traversal Utilities for NAT), najdete v článku 5.1 Aspekty zabezpečení pro implementátory.
Můžete si také přečíst o moderních ovládacích prvcích zabezpečení ve scénářích vzdálené práce v tématu Alternativní způsoby, jak odborníci na zabezpečení a IT dosáhnout moderních kontrolních mechanismů zabezpečení v dnešních jedinečných scénářích práce na dálku (blog týmu zabezpečení Microsoftu).
Testování
Jakmile je zásada zavedená, měli byste potvrdit, že funguje podle očekávání. Existuje několik způsobů, jak otestovat, že je cesta správně nastavená tak, aby používala místní připojení k internetu:
Spusťte test připojení Microsoft 365 , který za vás spustí testy připojení včetně trasovacích tras, jak je uvedeno výše. Do tohoto nástroje také přidáváme testy VPN, které by měly také poskytovat další přehledy.
Jednoduchá trasování koncového bodu v rámci rozsahu rozděleného tunelu by měla zobrazit zabranou cestu, například:
tracert worldaz.tr.teams.microsoft.comPak by se měla zobrazit cesta přes místního isp k tomuto koncovému bodu, která by se měla přeložit na IP adresu v rozsahech Teams, které jsme nakonfigurovali pro rozdělené tunelování.
Zachyťte síť pomocí nástroje, jako je Wireshark. Během volání vyfiltrujte udp a měli byste vidět, že provoz proudí na IP adresu v rozsahu Optimalizace Teams. Pokud se pro tento provoz používá tunel VPN, nebude mediální provoz v trasování viditelný.
Další protokoly podpory
Pokud k řešení potíží potřebujete další data nebo potřebujete pomoc od podpory Microsoftu, získání následujících informací by vám mělo pomoct urychlit hledání řešení. Univerzální sada nástrojů pro skripty pro řešení potíží založená na nástroji TSSS společnosti Microsoft pro Windows CMD vám může pomoct jednoduše shromáždit příslušné protokoly. Nástroj a pokyny k použití najdete na adrese https://aka.ms/TssTools.
Související články
Přehled: Dělené tunelové propojení VPN pro Microsoft 365
Implementace rozděleného tunelového propojení VPN pro Microsoft 365
Běžné scénáře rozděleného tunelového propojení VPN pro Microsoft 365
Zvláštní aspekty streamu a živých událostí v prostředích VPN
Optimalizace výkonu Microsoftu 365 pro uživatele v Číně
Principy síťového připojení Microsoftu 365
Vyhodnocování síťového připojení Microsoftu 365
Ladění sítě a výkonu Microsoftu 365
Zvýšení výkonu sítě VPN v Microsoftu: Povolení automatických připojení pomocí profilů Windows 10 VPN
Provoz na SÍTI VPN: Jak Microsoft udržuje své vzdálené pracovníky ve spojení
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro