Administración de puntos de conexión de Office 365

La mayoría de las organizaciones empresariales que tienen varias ubicaciones de oficina y una WAN de conexión necesitarán configurar la conectividad de red de Office 365. Puede optimizar su red mediante el envío de solicitudes a todas las redes de confianza de Office 365 directamente a través de su firewall, omitiendo así todos los procesos o inspecciones adicionales a nivel de paquetes. Esto reduce la latencia y los requisitos de capacidad perimetrales. Identificar el tráfico de red de Office 365 es el primer paso para ofrecer un rendimiento óptimo a los usuarios. Para obtener más información, vea Office 365 Principios de conectividad de red.

Microsoft recomienda tener acceso a los puntos Office 365 de red y a los cambios continuos en ellos mediante el Office 365 dirección IP y el servicio web url.

Independientemente de cómo administre el tráfico de red fundamental de Office 365, Office 365 requiere conectividad a Internet. Otros puntos de conexión de red en los que es necesario tener conectividad se muestran en Puntos de conexión adicionales no incluidos en el servicio web de URL ni en la dirección IP de Office 365.

La forma en que use los puntos de conexión de red de Office 365 dependerá de la arquitectura de red de la organización empresarial. En este artículo se describen varias formas en que las arquitecturas de red de la empresa se pueden integrar con las direcciones IP y URL de Office 365. La forma más sencilla de elegir qué solicitudes de red confiar es usar dispositivos SD-WAN que admitan la configuración Office 365 automatizada en cada una de las ubicaciones de la oficina.

SD-WAN para la salida de sucursal local de tráfico Office 365 de red

En cada ubicación de sucursal, puede proporcionar un dispositivo SD-WAN configurado para enrutar el tráfico para Office 365 Optimizar categoría de puntos de conexión o Optimizar y permitir categorías directamente a la red de Microsoft. Otro tráfico de red, incluido el tráfico local del centro de datos, el tráfico general de los sitios web de Internet y el tráfico a puntos de conexión de categoría predeterminada de Office 365 se envía a otra ubicación donde tiene un perímetro de red más importante.

Microsoft está trabajando con proveedores de SD-WAN para habilitar la configuración automatizada. Para más información, consulte Programa para partners de redes de Office 365.

Usar un archivo PAC para el enrutamiento directo del tráfico fundamental de Office 365

Use archivos PAC o WPAD para administrar las solicitudes de red que están asociadas con Office 365 pero no tienen una dirección IP. Normalmente, las solicitudes de red que se envían a través de un dispositivo proxy o perimetral aumentan la latencia. Mientras que la característica de Inspección e interrupción SSL crea la latencia más grande, otros servicios, como la autenticación de proxy y la búsqueda de la reputación, pueden ocasionar peor rendimiento y una experiencia de usuario deficiente. Además, estos dispositivos de red perimetral necesitan capacidad suficiente para procesar todas las solicitudes de conexión de red. Se recomienda omitir los dispositivos de inspección o proxy para solicitudes de red de Office 365 directas.

PowerShell Gallery Get-PacFile es un script de PowerShell que lee los puntos de conexión de red más recientes desde el servicio web URL y la dirección IP de Office 365, y crea un archivo PAC de ejemplo. Puede modificar el script para que se integre con la administración de archivos PAC existente.

Conectarse a Office 365 a través de firewalls y servidores proxy.

Figura 1: perímetro de red de una empresa simple

El archivo PAC se implementa en los exploradores web en el punto 1 de la figura 1. Cuando usa un archivo PAC para salida directa de tráfico de red importante de Office 365, también necesita permitir la conectividad a las direcciones IP que se encuentran detrás de estas URL en el firewall perimetral de la red. Esto se hace recuperando las direcciones IP de las mismas categorías de puntos de conexión de Office 365 que se especifican en el archivo PAC y creando las ACL de firewall basándose en esas direcciones. El firewall es el punto 3 de la figura 1.

Por separado, si decide realizar el enrutamiento directo solo para los puntos de conexión de la categoría Optimizar, deberán aparecer en el servidor proxy los puntos de conexión de categoría Permitir necesarios que se envíen al servidor proxy para omitir procesamiento adicional. Por ejemplo, Inspección e interrupción SSL y la autenticación de proxy no son compatibles con los puntos de conexión de las categorías Optimizar y Permitir. El servidor proxy es el punto 2 de la figura 1.

La configuración común es permitir sin procesar todo el tráfico saliente del servidor proxy para las direcciones IP de destino del tráfico de red de Office 365 que llega al servidor proxy. Para obtener información sobre los problemas con Inspección e interrupción SSL, consulte Uso de dispositivos de red de terceros o soluciones en el tráfico de Office 365.

Hay dos tipos de archivos PAC que el script Get-PacFile generará.

Tipo Descripción
1
Enviar tráfico de punto de conexión Optimizar directo y todo lo demás al servidor proxy.
2
Enviar tráfico de punto de conexión Optimizar y Permitir directo y todo lo demás al servidor proxy. Este tipo también se puede usar para enviar todo el tráfico compatible de ExpressRoute para Office 365 a segmentos de red de ExpressRoute y todo los demás al servidor proxy.

Este es un ejemplo sencillo de llamada al script de PowerShell:

Get-PacFile -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7

Hay muchos parámetros que puede pasar al script:

Parameter Descripción
ClientRequestId
Esto es necesario y es un GUID pasado al servicio web que representa el equipo cliente que realiza la llamada.
Instance
La Office 365 de servicio, que es el valor predeterminado de Worldwide. Esto también se pasa al servicio web.
TenantName
El nombre de su espacio empresarial de Office 365. Se pasa al servicio web y se usa como un parámetro reemplazable en algunas URL de Office 365.
Tipo
El tipo de archivo PAC de proxy que quiere generar.

Este es otro ejemplo de la llamada al script de PowerShell con parámetros adicionales:

Get-PacFile -Type 2 -Instance Worldwide -TenantName Contoso -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7

Omitir el procesamiento del tráfico de red de Office 365 con servidor proxy

En caso de que no se usen archivos PAC para el tráfico de salida directo, aún debería omitir el procesamiento en el perímetro de la red configurando el servidor proxy. Algunos proveedores de servidores proxy han habilitado la configuración automatizada de esto, tal como se describe en el Programa para partners de redes de Office 365.

Si lo hace manualmente, tendrá que obtener los datos de categorías de extremo Optimizar y Permitir del servicio web de dirección IP y dirección URL de Office 365 y configurar el servidor proxy para omitir el procesamiento de estos. Es importante evitar Inspección e interrupción SSL y comprobar la autenticación de proxy para los puntos de conexión de las categorías Optimizar y Permitir.

Administración de cambios de direcciones IP y URL de Office 365

Además de seleccionar la configuración adecuada para el perímetro de la red, es fundamental que adopte un proceso de administración de cambios para los puntos de conexión de Office 365. Estos puntos de conexión cambian periódicamente y, en caso de que no administre los cambios, puede que termine con usuarios bloqueados o con un rendimiento deficiente cuando se agregue una dirección IP o URL nueva.

Los cambios en las direcciones IP y URL de Office 365 suelen publicarse cerca del último día de cada mes. En ocasiones, los cambios se publicarán fuera de la programación debido a requisitos de funcionamiento, soporte o seguridad.

Cuando se publica un cambio sobre el que es necesario que actúe, debido a que se ha agregado una dirección IP o URL, debería recibir un aviso de 30 días a partir del momento en que se publique el cambio hasta que haya un servicio de Office 365 en ese extremo. Esto se refleja como la fecha de vigencia. Aunque nuestro objetivo es este periodo de notificación, puede que no siempre sea posible debido a requisitos de funcionamiento, soporte o seguridad. Los cambios que no requieran una acción inmediata para mantener la conectividad (como direcciones IP o URL quitadas o cambios menos importantes) no incluyen una notificación previa. En estos casos, no se proporciona ninguna fecha efectiva. Independientemente de la notificación que se proporcione, se enumeran las fechas previstas para cada uno de los cambios en el servicio.

Notificación de cambios con el servicio web

Puede usar el servicio web de URL y la dirección IP de Office 365 para recibir la notificación de cambios. Le recomendamos que llame al método web /version una vez por hora para comprobar la versión de los puntos de conexión que está usando para conectarse a Office 365. Si esta versión cambia al compararla con la versión que usa, debe obtener los datos del último punto de conexión en el método web /endpoints y, de forma opcional, puede obtener las diferencias con el método web /changes. No es necesario llamar a los métodos web /endpoints o /changes en caso de que no haya ningún cambio en la versión encontrada.

Para más información, consulte Dirección IP y servicio web de URL de Office 365 .

Notificación de cambios con fuentes RSS

La dirección IP de Office 365 y el servicio web de URL proporcionan una fuente RSS a la que puede suscribirse en Outlook. Hay vínculos a las direcciones URL de RSS en cada una de las páginas específicas de las instancias del servicio de Office 365 para las direcciones IP y URL. Para más información, consulte Dirección IP y servicio web de URL de Office 365 .

Cambiar la notificación y la revisión de aprobación mediante Power Automate

Sabemos que es posible que siga requiriendo procesamiento manual para los cambios en los puntos de conexión de red que llegan cada mes. Puede usar Power Automate para crear un flujo que le notifite por correo electrónico y, opcionalmente, ejecute un proceso de aprobación para los cambios cuando Office 365 extremos de red tengan cambios. Una vez completada la revisión, puede hacer que el flujo envíe los cambios por correo automáticamente al equipo de administración del servidor proxy y del firewall.

Para obtener información acerca de Power Automate ejemplo y plantilla, vea Usar Power Automate para recibir un correo electrónico para los cambios en direcciones IP y direcciones IP de Office 365 direcciones IP y direcciones URL.

Preguntas más frecuentes sobre puntos de conexión de red de Office 365

Vea estas preguntas más frecuentes sobre la Office 365 de red.

¿Cómo envío una pregunta?

Haga clic en el vínculo de la parte inferior para indicar si el artículo le ha sido útil o no y enviar cualquier otra pregunta. Supervisamos los comentarios y actualizamos las preguntas en esta sección de preguntas más frecuentes.

¿Cómo determino la ubicación de mi espacio empresarial?

La ubicación de espacios empresariales se determina mejor con nuestro mapa de centros de datos.

¿Estoy emparejando adecuadamente con Microsoft?

Las ubicaciones de emparejamiento se describen con más detalles en el emparejamiento con Microsoft.

Con más de 2500 relaciones de emparejamiento ISP a nivel mundial y 70 puntos de presencia, el paso de su red a la nuestra debería realizarse sin problemas. No está de más dedicar unos minutos a asegurarse de que la relación de emparejamiento de su ISP es la mejor, le mostramos algunos ejemplos aquí de entregas de emparejamiento buenas y no tan buenas a nuestra red.

Puedo ver solicitudes de red a direcciones IP que no están en la lista publicada, ¿es necesario proporcionar acceso para ellas?

Solo proporcionamos direcciones IP para los servidores de Office 365 a los que debería enrutar directamente. Esta no es una lista completa de todas las direcciones IP para las que verá peticiones de red. Verá las solicitudes de red para Microsoft y las direcciones IP de terceros sin publicar. Estas direcciones IP se generan de forma dinámica o se administran de manera que se impide un aviso puntual cuando cambian. Si su firewall no permite el acceso basado en los FQDN para estas solicitudes de red, use un archivo PAC o WPAD para administrar las solicitudes.

¿Ve una dirección IP asociada a Office 365 sobre la que quiere obtener más información?

  1. Compruebe si la dirección IP se incluye en un rango publicado mayor con una calculadora CIDR, como estas para IPv4 o IPv6. Por ejemplo, 40.96.0.0/13 incluye la dirección IP 40.103.0.1 a pesar de que 40.96 no coincide con 40.103.
  2. Compruebe si un partner es el propietario de la IP con una consulta whois. Si es propiedad de Microsoft, puede ser un partner interno. Se muestran muchos puntos de conexión de red de asociados que pertenecen a la categoría predeterminada, cuyas direcciones IP no se publican.
  3. Es posible que la dirección IP no pertenezca a Office 365 o a una dependencia. La publicación de puntos de conexión de red de Office 365 no incluye todos los puntos de conexión de red de Microsoft.
  4. Compruebe el certificado. Con un explorador, conéctese a la dirección IP mediante HTTPS:// <IP_ADDRESS> y compruebe los dominios enumerados en el certificado para comprender qué dominios están asociados con la dirección IP. Si es una dirección IP propiedad de Microsoft y no está en la lista de direcciones IP de Office 365, es probable que la dirección IP esté asociada con un CDN de Microsoft, como MSOCDN.NET u otro dominio de Microsoft sin información IP publicada. Si encuentra que el dominio en el certificado es uno de los que afirmamos indicar la dirección IP, háganoslo saber.

Algunas direcciones URL de Office 365 apuntan a registros CNAME en lugar de a registros A de DNS. ¿Qué tengo que hacer con los registros CNAME?

Los equipos cliente necesitan un registro DNS A o AAAA t)hat que incluya una o más direcciones IP para conectarse a un servicio en la nube. Algunas direcciones URL incluidas en Office 365 muestran registros CNAME en lugar de registros A o AAAA. Estos registros CNAME son intermediarios y es posible que haya varios en una cadena. Siempre se resolverán finalmente como un registro A o AAAA para una dirección IP. Por ejemplo, considere la siguiente serie de registros DNS, que se resuelve en la dirección IP IP_1:

serviceA.office.com -> CNAME: serviceA.domainA.com -> CNAME: serviceA.domainB.com -> A: IP_1

Estas redirecciones de CNAME son una parte normal del DNS y son transparentes para el equipo cliente y para los servidores proxy. Se usan para equilibrar la carga, las redes de entrega de contenido, la alta disponibilidad y la mitigación de incidencias de servicio. Microsoft no publica los registros CNAME de intermediarios, por lo que están sujetos a cambios en cualquier momento y no necesitará configurarlos como permitidos en el servidor proxy.

Un servidor proxy valida la dirección URL inicial, que en el ejemplo anterior es serviceA.office.com, y esta dirección URL se incluiría en Office 365 publicación. El servidor proxy solicita la resolución DNS de esa dirección URL a una dirección IP y recibirá IP_1. No valida los registros del redireccionamiento CNAME de intermediarios.

Las configuraciones codificadas de forma automática o el uso de una lista de permitidos basadas en nombres de dominio Office 365 no se recomiendan, no son compatibles con Microsoft y se sabe que causan problemas de conectividad de clientes. Las soluciones DNS que se bloquean en el redireccionamiento CNAME o que, de lo contrario, resuelven incorrectamente las entradas DNS Office 365, se pueden resolver a través de reenviadores DNS con recursión DNS habilitada o mediante sugerencias de raíz dns. Muchos productos perimetrales de red de terceros integran de forma nativa el extremo Office 365 recomendado para incluir una lista de permitidos en su configuración mediante el servicio web de dirección IP y dirección URL Office 365.

¿Por qué veo nombres como nsatc.net o akadns.net en los nombres de dominio de Microsoft?

Office 365 y otros servicios de Microsoft usan varios servicios de terceros como Akamai y MarkMonitor para mejorar su experiencia de Office 365. Para seguir ofreciéndole la mejor experiencia posible, podemos cambiar estos servicios en el futuro. Los dominios de terceros pueden hospedar contenido, como una CDN, o pueden hospedar un servicio, como un servicio de administración de tráfico geográfico. Algunos de los servicios actualmente en uso son:

MarkMonitor está en uso cuando ve solicitudes que incluyen * .nsatc.net. Este servicio proporciona protección y supervisión de nombres de dominio para protegerse de comportamiento malintencionado.

ExactTarget está en uso cuando ve solicitudes a * .exacttarget.com. Este servicio ofrece administración y supervisión de vínculos de correo contra comportamiento malintencionado.

Akamai está en uso cuando vea las solicitudes que incluyen uno de los siguientes FQDN. Este servicio ofrece servicios de red de entrega de contenido y DNS geográfico.

*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net

Tengo que tener la conectividad mínima posible para Office 365

Puesto que Office 365 es un conjunto de servicios creado para funcionar a través de Internet, las promesas de confiabilidad y disponibilidad se basan en la cantidad de servicios de Internet estándar que están disponibles. Por ejemplo, los servicios de Internet estándar como DNS, CRL y CDN deben ser accesibles para usar Office 365 al igual que deben ser accesibles para usar la mayoría de servicios modernos de Internet.

El conjunto de aplicaciones de Office 365 se divide en las principales áreas de servicio. Se pueden habilitar selectivamente para la conectividad y hay un área común, que es una dependencia para todos y siempre es necesaria.

Área de servicios Descripción
Exchange
Exchange Online y Exchange Online Protection
SharePoint
SharePoint Online y OneDrive para la Empresa
Skype Empresarial Online y Microsoft Teams
Skype Empresarial y Microsoft Teams
Común
Office 365 Pro Plus, Office en un explorador, Azure AD y otros puntos de conexión de red comunes

Además de los servicios de Internet básicos, hay servicios de terceros que solo se usan para integrar características. Aunque son necesarias para la integración, se marcan como opcionales en el artículo de puntos de conexión de Office 365, lo que significa que la funcionalidad principal del servicio seguirá funcionando si el extremo no es accesible. Cualquier extremo de red que sea necesario tendrá el atributo requerido establecido en true. Cualquier extremo de red que sea opcional tendrá el atributo requerido establecido en false y el atributo notes detallará la funcionalidad que falta si se bloquea la conectividad.

Si está intentando usar Office 365 y está buscando que los servicios de terceros no sean accesibles, querrá asegurarse de que todos los FQDN marcadoscomo obligatorios u opcionales en este artículo se permiten a través del proxy y el firewall .

¿Cómo puedo bloquear el acceso a los servicios al consumidor de Microsoft?

La característica de restricciones de inquilino ahora admite el bloqueo del uso de todas las aplicaciones de consumidor de Microsoft (aplicaciones de MSA), como OneDrive, Hotmail y Xbox.com. Esto usa un encabezado independiente para el login.live.com de conexión. Para obtener más información, vea Use tenant restrictions to manage access to SaaS cloud applications.

El Firewall requiere direcciones IP y no puede procesar URL. ¿Cómo lo configuro para Office 365?

Office 365 no proporciona direcciones IP de todos los puntos de conexión de red necesarios. Algunas se proporcionan solo como direcciones URL y se clasifican como predeterminadas. Las direcciones URL de la categoría predeterminada que son necesarias deben permitirse a través de un servidor proxy. Si no tiene un servidor proxy, vea cómo ha configurado las solicitudes web para direcciones URL que los usuarios escriben en la barra de direcciones de un explorador web; el usuario tampoco proporciona una dirección IP. Las Office 365 de categoría predeterminadas que no proporcionan direcciones IP deben configurarse de la misma manera.

Dirección IP de Office 365 y servicio web de URL

Intervalos IP del centro de datos de Microsoft Azure

Espacio IP público de Microsoft

Requisitos de infraestructura de red para Microsoft Intune

ExpressRoute y Power BI

Intervalos de direcciones IP y URL de Office 365

Administrar ExpressRoute para la conectividad de Office 365

Principios de conectividad de red de Office 365