Sikring af Teams-medietrafik til VPN-opdelt tunnelføring
Bemærk!
Denne artikel er en del af et sæt artikler, der omhandler Microsoft 365-optimering for fjernbrugere.
- Du kan få en oversigt over, hvordan du bruger OPDELT VPN-tunnelføring til at optimere Microsoft 365-forbindelse til fjernbrugere, under Oversigt: VPN-opdelt tunnelføring til Microsoft 365.
- Hvis du vil have en detaljeret vejledning i implementering af VPN-opdelt tunnelføring, skal du se Implementering af VPN-opdelt tunnelføring til Microsoft 365.
- Du kan finde en detaljeret liste over scenarier med opdelt VPN-tunnelføring under Almindelige scenarier med opdelt VPN-tunnelføring til Microsoft 365.
- Du kan få oplysninger om, hvordan du konfigurerer Stream og livebegivenheder i VPN-miljøer, under Særlige overvejelser i forbindelse med Stream og livebegivenheder i VPN-miljøer.
- Du kan få oplysninger om optimering af lejerydeevnen i Microsoft 365 over hele verden for brugere i Kina under Optimering af ydeevnen i Microsoft 365 for brugere i Kina.
Nogle Microsoft Teams-administratorer kan kræve detaljerede oplysninger om, hvordan opkaldsflow fungerer i Teams ved hjælp af en opdelt tunnelføringsmodel, og hvordan forbindelser sikres.
Konfiguration
For både kald og møder, så længe de påkrævede Optimer IP-undernet for Teams-medier er korrekt placeret i rutetabellen, returneres den lokale grænseflade for Microsoft-destinationer i de Microsoft IP-blokke, der er angivet ovenfor, når Teams kalder funktionen GetBestRoute for at bestemme, hvilken lokal grænseflade der svarer til den rute, den skal bruge til en bestemt destination.
Nogle VPN-klientsoftware tillader manipulation af routing baseret på URL-adresse. Der er dog ikke knyttet nogen URL-adresse til Teams-medietrafikken, så styringen af distributionen for denne trafik skal udføres ved hjælp af IP-undernet.
I visse scenarier, der ofte ikke er relateret til Teams-klientkonfiguration, gennemgår medietrafik stadig VPN-tunnellen, selv med de korrekte ruter på plads. Hvis du støder på dette scenarie, bør det være tilstrækkeligt at bruge en firewallregel til at blokere Teams IP-undernet eller -porte fra at bruge VPN.
Vigtigt!
Hvis du vil sikre, at Teams-medietrafik dirigeres via den ønskede metode i alle VPN-scenarier, skal du sikre, at brugerne kører Microsoft Teams-klientversion 1.3.00.13565 eller nyere. Denne version indeholder forbedringer af, hvordan klienten registrerer tilgængelige netværksstier.
Signaltrafik udføres via HTTPS og er ikke så ventetidsfølsom som medietrafikken og er markeret som Tillad i URL-adressen/IP-dataene og kan derfor sikkert dirigeres gennem VPN-klienten, hvis det er nødvendigt.
Bemærk!
Microsoft Edge 96 og nyere understøtter også VPN-opdelt tunnelføring for peer-to-peer-trafik. Det betyder, at kunder f.eks. kan få fordel af VPN-opdelt tunnelføring for Teams-webklienter på Edge. Kunder, der ønsker at konfigurere det til websteder, der kører på Edge, kan opnå det ved at tage det ekstra trin med at deaktivere Edge WebRtcRespectOsRoutingTableEnabled-politikken .
Sikkerhed
Et almindeligt argument for at undgå opdelte tunneler er, at Det er mindre sikkert at gøre det, dvs. al trafik, der ikke går gennem VPN-tunnellen, ikke vil drage fordel af uanset hvilket krypteringsskema der anvendes på VPN-tunnellen, og er derfor mindre sikker.
Det primære modargument til dette er, at medietrafik allerede er krypteret via SRTP (Secure Real-Time Transport Protocol), en profil for Real-Time Transport Protocol (RTP), der sikrer fortrolighed, godkendelse og genafspilning af angrebsbeskyttelse til RTP-trafik. SRTP selv er afhængig af en tilfældigt genereret sessionsnøgle, som udveksles via den sikrede TLS-signalkanal. Dette behandles udførligt i denne sikkerhedsvejledning, men det primære afsnit af interesse er mediekryptering.
Medietrafik krypteres ved hjælp af SRTP, som bruger en sessionsnøgle, der genereres af en sikker generator af tilfældige tal og udveksles ved hjælp af den signalerende TLS-kanal. Derudover krypteres medier, der flyder i begge retninger mellem mediationsserveren og dens interne næste hop, også ved hjælp af SRTP.
Skype for Business Online genererer brugernavn/adgangskoder for at sikre adgang til medierelæer via Traversal Using Relays omkring NAT (TURN). Medierelæer udveksler brugernavnet/adgangskoden via en TLS-sikret SIP-kanal. Det er værd at bemærke, at selvom en VPN-tunnel kan bruges til at forbinde klienten til virksomhedens netværk, skal trafikken stadig flyde i sin SRTP-formular, når den forlader virksomhedens netværk for at nå tjenesten.
Du kan finde oplysninger om, hvordan Teams afhjælper almindelige sikkerhedsbekymringer, f.eks. stemme - eller Session Traversal-hjælpeprogrammer til NAT-forstærkerangreb (STUN), i 5.1 Sikkerhedsovervejelser for implementerere.
Du kan også læse om moderne sikkerhedskontroller i fjernarbejdsscenarier på Alternative måder for sikkerhedsteknikere og it-medarbejdere at opnå moderne sikkerhedskontroller i nutidens unikke fjernarbejdsscenarier (Microsoft Security Team-blog).
Test
Når politikken er på plads, skal du bekræfte, at den fungerer som forventet. Der er flere måder at teste stien på, som er angivet korrekt til at bruge den lokale internetforbindelse:
Kør Microsoft 365-forbindelsestest , der kører forbindelsestest for dig, herunder sporingsruter som ovenfor. Vi føjer også VPN-test til dette værktøj, som også bør give yderligere indsigt.
En enkel tracert til et slutpunkt inden for området for den opdelte tunnel skal vise den sti, der er taget, f.eks.:
tracert worldaz.tr.teams.microsoft.comDu bør derefter se en sti via den lokale internetudbyder til dette slutpunkt, der skal løses til en IP-adresse i de Teams-områder, vi har konfigureret til opdelt tunnelføring.
Tag en netværksregistrering ved hjælp af et værktøj som Wireshark. Filtrer på UDP under et opkald, og du bør se, at trafikken flyder til en IP-adresse i Teams Optimize-intervallet . Hvis VPN-tunnelen bruges til denne trafik, vil medietrafikken ikke være synlig i sporingen.
Yderligere supportlogge
Hvis du har brug for yderligere data til fejlfinding eller anmoder om hjælp fra Microsoft Support, bør du kunne fremskynde søgning efter en løsning ved at indhente følgende oplysninger. Microsoft support's TSS Windows CMD-baserede universelle TroubleShooting Script toolset kan hjælpe dig med at indsamle de relevante logge på en enkel måde. Du kan finde værktøjet og brugsvejledningen på https://aka.ms/TssTools.
Relaterede artikler
Oversigt: VPN-opdelt tunnelføring til Microsoft 365
Implementering af OPDELT VPN-tunnelføring til Microsoft 365
Almindelige scenarier med opdelt VPN-tunnelføring til Microsoft 365
Særlige overvejelser i forbindelse med Stream og livebegivenheder i VPN-miljøer
Optimering af ydeevnen i Microsoft 365 for kinabrugere
Principper for Microsoft 365 Network Connectivity
Vurderer Microsoft 365 netværksforbindelse
Microsoft 365-netværk og justering af ydeevne
Kører på VPN: Sådan holder Microsoft sin eksterne arbejdsstyrke tilsluttet
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om