Optimiser la connectivité d’Office 365 pour les utilisateurs à distance à l’aide de la segmentation de tunnel VPNOptimize Office 365 connectivity for remote users using VPN split tunneling

Pour les clients qui connectent leurs appareils de travail à distance au réseau d'entreprise ou à l'infrastructure cloud via un VPN, Microsoft recommande que les scénarios clés Office 365 Microsoft Teams, SharePoint Online et Exchange Online soient acheminés via une configuration de segmentation de tunnel VPN.For customers who connect their remote worker devices to the corporate network or cloud infrastructure over VPN, Microsoft recommends that the key Office 365 scenarios Microsoft Teams, SharePoint Online and Exchange Online are routed over a VPN split tunnel configuration. Cette stratégie s’avère particulièrement importante dans le cadre de la stratégie de première ligne mise en place pour favoriser la productivité des employés, lors d'événements qui entraîne un travail à domicile à grande échelle, tels que la crise de COVID-19.This becomes especially important as the first line strategy to facilitate continued employee productivity during large scale work-from-home events such as the COVID-19 crisis.

Configuration de la segmentation de tunnel par VPN

Image 1 : Une solution de segmentation de tunnel VPN avec des exceptions Office 365 définies, envoyées directement au service. Tout autre trafic traverse le tunnel VPN, indépendamment de la destination.Figure 1: A VPN split tunnel solution with defined Office 365 exceptions sent directly to the service. All other traffic traverses the VPN tunnel regardless of destination.

L’essentiel de cette approche consiste à offrir une méthode simple, permettant aux entreprises de limiter les risques liés à la saturation de l’infrastructure VPN et d’améliorer considérablement les performances d’Office 365 le plus rapidement possible.The essence of this approach is to provide a simple method for enterprises to mitigate the risk of VPN infrastructure saturation and dramatically improve Office 365 performance in the shortest timeframe possible. La configuration des clients VPN pour permettre au trafic Office 365 le plus important et le plus intense de contourner le tunnel VPN offre les avantages suivants :Configuring VPN clients to allow the most critical, high volume Office 365 traffic to bypass the VPN tunnel achieves the following benefits:

  • Atténue immédiatement la cause principale de la majorité des problèmes de performances et de capacité réseau, signalés par les clients dans les architectures VPN d'entreprise, ayant un impact sur l'expérience utilisateur Office 365Immediately mitigates the root cause of a majority of customer-reported performance and network capacity issues in enterprise VPN architectures impacting Office 365 user experience

    La solution recommandée cible spécifiquement les points de terminaison du service Office 365 classés dans la catégorie Optimiser dans l’article URL et plages d'adresses IP Office 365.The recommended solution specifically targets Office 365 service endpoints categorized as Optimize in the topic Office 365 URLs and IP address ranges. Le trafic vers ces points de terminaison est très sensible à la latence et à la limitation de la bande passante, et lui permettre de contourner le tunnel VPN peut considérablement améliorer l'expérience de l'utilisateur final et réduire la charge du réseau d’entreprise.Traffic to these endpoints is highly sensitive to latency and bandwidth throttling, and enabling it to bypass the VPN tunnel can dramatically improve the end user experience as well as reduce the corporate network load. Les connexions Office 365 qui ne constituent pas la majorité de la bande passante ou de l'empreinte de l'expérience utilisateur peuvent continuer à être acheminées via le tunnel VPN avec le reste du trafic lié à Internet.Office 365 connections that do not constitute the majority of bandwidth or user experience footprint can continue to be routed through the VPN tunnel along with the rest of the Internet-bound traffic. Si vous souhaitez en savoir plus, consultez l’article la stratégie de segmentation de tunnel VPN.For more information, see The VPN split tunnel strategy.

  • Peut être configurée, testée et implémentée rapidement par les clients, sans infrastructure ou configuration d’application supplémentaires. Can be configured, tested and implemented rapidly by customers and with no additional infrastructure or application requirements

    En fonction de la plateforme VPN et de l’architecture réseau, l’implémentation peut prendre quelques heures.Depending on the VPN platform and network architecture, implementation can take as little as a few hours. Si vous souhaitez en savoir plus, consultez l’article Implémenter la segmentation de tunnel VPN.For more information, see Implement VPN split tunneling.

  • Préserve la posture de sécurité des implémentations VPN client en ne modifiant pas la façon dont les autres connexions sont acheminées, notamment le trafic vers InternetPreserves the security posture of customer VPN implementations by not changing how other connections are routed, including traffic to the Internet

    La configuration recommandée respecte les principes de moindre privilège pour les exceptions de trafic VPN et permet aux clients d’implémenter une segmentation de tunnel VPN sans exposer les utilisateurs ou l’infrastructure à des risques de sécurité supplémentaires.The recommended configuration follows the least privilege principle for VPN traffic exceptions and allows customers to implement split tunnel VPN without exposing users or infrastructure to additional security risks. Le trafic réseau acheminé directement vers les points de terminaison Office 365 est chiffré, validé pour son intégrité par les piles d'applications clientes Office, et étendu aux adresses IP dédiées aux services Office 365, qui sont renforcées à la fois au niveau de l'application et au niveau du réseau.Network traffic routed directly to Office 365 endpoints is encrypted, validated for integrity by Office client application stacks and scoped to IP addresses dedicated to Office 365 services which are hardened at both the application and network level. Si vous souhaitez en savoir plus, consultez l’article Des moyens alternatifs pour les professionnels de la sécurité et les services informatiques de réaliser des contrôles de sécurité modernes dans les scénarios de travail à distance uniques d'aujourd'hui (blog de l'équipe de sécurité Microsoft).For more information, see Alternative ways for security professionals and IT to achieve modern security controls in today's unique remote work scenarios (Microsoft Security Team blog).

  • Est pris en charge nativement par la plupart des plateformes VPN d’entrepriseIs natively supported by most enterprise VPN platforms

    Microsoft continue de collaborer avec des partenaires de production de solutions VPN commerciales pour aider les partenaires à développer des instructions et des modèles de configuration ciblés pour leurs solutions, conformément aux recommandations ci-dessus.Microsoft continues to collaborate with industry partners producing commercial VPN solutions to help partners develop targeted guidance and configuration templates for their solutions in alignment with the above recommendations. Si vous souhaitez en savoir plus, consultez l’article Guides d’utilisation pour les plateformes VPN courantes.For more information, see HOWTO guides for common VPN platforms.

Conseil

Microsoft recommande de concentrer la configuration de la segmentation du tunnel VPN sur les plages d’adresses IP dédiées aux services Office 365.Microsoft recommends focusing split tunnel VPN configuration on documented dedicated IP ranges for Office 365 services. Bien que les configurations de segmentation de tunnel basées sur des FQDN ou AppID soient possibles sur certaines plates-formes clientes VPN, elles peuvent ne pas couvrir entièrement les scénarios clés d'Office 365 et peuvent entrer en conflit avec les règles de routage VPN basées sur IP.FQDN or AppID-based split tunnel configurations, while possible on certain VPN client platforms, may not fully cover key Office 365 scenarios and may conflict with IP based VPN routing rules. Pour cette raison, Microsoft vous déconseille d’utiliser les FQDN Office 365 pour configurer la segmentation de tunnel VPN.For this reason, Microsoft does not recommend using Office 365 FQDNs to configure split tunnel VPN. L’utilisation de la configuration des FQDN peut être utile dans d’autres cas connexes, tels que les personnalisations de fichier .pac ou pour implémenter la dérivation par proxy.The use of FQDN configuration may be useful in other related scenarios, such as .pac file customizations or to implement proxy bypass.

Si vous souhaitez obtenir des instructions complètes sur l’implémentation, consultez l’article Implémentation de la segmentation de tunnel VPN pour Office 365.For full implementation guidance, see Implementing VPN split tunneling for Office 365.

La stratégie de segmentation de tunnel VPNThe VPN split tunnel strategy

Les réseaux d’entreprise traditionnels sont souvent conçus pour fonctionner de façon sécurisée dans un environnement préexistant dans lequel les données, les services et les applications les plus importants sont hébergés en local et sont directement connectés au réseau interne de l’entreprise, comme la plupart des utilisateurs.Traditional corporate networks are often designed to work securely for a pre-cloud world where most important data, services, applications are hosted on premises and are directly connected to the internal corporate network, as are the majority of users. Ainsi, l'infrastructure réseau est construite autour de ces éléments et, en ce sens, les succursales sont connectées au siège social via des réseaux MPLS (Multiprotocol Label Switching), et les utilisateurs distants doivent se connecter au réseau d'entreprise via un VPN pour accéder à la fois aux points de terminaison locaux et à Internet.Thus network infrastructure is built around these elements in that branch offices are connected to the head office via Multiprotocol Label Switching (MPLS) networks, and remote users must connect to the corporate network over a VPN to access both on premises endpoints and the Internet. Dans ce modèle, tout le trafic provenant d’utilisateurs distants traverse le réseau d’entreprise et est acheminé vers le service cloud via un point de sortie commun.In this model, all traffic from remote users traverses the corporate network and is routed to the cloud service through a common egress point.

Configuration VPN obligatoire

Image 2 : Une solution VPN commune pour les utilisateurs distants où tout le trafic est renvoyé vers le réseau d’entreprise, quelle que soit la destinationFigure 2: A common VPN solution for remote users where all traffic is forced back into the corporate network regardless of destination

Au fur et à mesure que les organisations transfèrent les données et les applications vers le cloud, ce modèle devient moins efficace car il est rapidement lourd, coûteux et non évolutif, ce qui a un impact significatif sur les performances du réseau et sur l'efficacité des utilisateurs et restreint la capacité de l'organisation à s'adapter à l'évolution des besoins.As organizations move data and applications to the cloud, this model has begun to become less effective as it quickly becomes cumbersome, expensive and unscalable, significantly impacting network performance and efficiency of users and restricting the ability of the organization to adapt to changing needs. De nombreux clients Microsoft ont rapporté qu’il y a quelques années, 80% du trafic réseau avait une destination interne, mais qu’en 2020, 80% plus de trafic se connecte à une ressource cloud externe.Numerous Microsoft customers have reported that a few years ago 80% of network traffic was to an internal destination, but in 2020 80% plus of traffic connects to an external cloud based resource.

La crise du COVID-19 a aggravé ce problème et a exigé des solutions immédiates pour la grande majorité des organisations.The COVID-19 crisis has aggravated this problem to require immediate solutions for the vast majority of organizations. De nombreux clients ont trouvé que le modèle de VPN obligatoire n’était pas suffisamment évolutif ou performant pour les scénarios de travail se faisant à 100% à distance, comme le nécessite cette crise.Many customers have found that the forced VPN model is not scalable or performant enough for 100% remote work scenarios such as that which this crisis has necessitated. Des solutions rapides sont nécessaires pour que ces organisations continuent de fonctionner de manière efficace.Rapid solutions are required for these organization to continue to operate efficiently.

Pour le service Office 365, Microsoft a conçu les exigences de connectivité pour le service avec ce problème à l'esprit. Un ensemble de points de terminaison de service ciblés, étroitement contrôlés et relativement statiques peut être optimisé très simplement et rapidement afin de fournir des performances élevées aux utilisateurs accédant au service, et de réduire la charge sur l'infrastructure VPN afin qu'il puisse être utilisé par le trafic qui en a encore besoin .For the Office 365 service, Microsoft has designed the connectivity requirements for the service with this problem squarely in mind, where a focused, tightly controlled and relatively static set of service endpoints can be optimized very simply and quickly so as to deliver high performance for users accessing the service, and reducing the burden on the VPN infrastructure so it can be used by traffic which still requires it.

Office 365 classe les points de terminaison requis pour Office 365 en trois catégories : Optimiser, Autoriser et Par défaut.Office 365 categorizes the required endpoints for Office 365 into three categories: Optimize, Allow, and Default. Optimiser les points de terminaison est notre objectif ici et présente les caractéristiques suivantes :Optimize endpoints are our focus here and have the following characteristics:

  • Les points de terminaison détenus et gérés par Microsoft sont-ils hébergés sur une infrastructure MicrosoftAre Microsoft owned and managed endpoints, hosted on Microsoft infrastructure
  • Sont-ils dédiés aux principales charges de travail Office 365 comme Exchange Online, SharePoint Online, Skype Entreprise Online et Microsoft TeamsAre dedicated to core Office 365 workloads such as Exchange Online, SharePoint Online, Skype for Business Online, and Microsoft Teams
  • Ont-ils des adresses IP fourniesHave IPs provided
  • Faible taux de modifications et qui devraient rester de taille réduite (actuellement 20 sous-réseaux IP)Low rate of change and are expected to remain small in number (currently 20 IP subnets)
  • Ils sont sensibles au volume et / ou à la latenceAre high volume and/or latency sensitive
  • Ils sont en mesure d'avoir les éléments de sécurité requis fournis dans le service plutôt qu'en ligne sur le réseauAre able to have required security elements provided in the service rather than inline on the network
  • Représente environ 70 à 80% du volume de trafic vers le service Office 365Account for around 70-80% of the volume of traffic to the Office 365 service

Cet ensemble de points de terminaison étroitement limité peut être séparé du tunnel VPN obligatoire et envoyé directement, et en toute sécurité, au service Office 365 via l'interface locale de l'utilisateur.This tightly scoped set of endpoints can be split out of the forced VPN tunnel and sent securely and directly to the Office 365 service via the user's local interface. C’est ce qu’on appelle la segmentation du tunnel.This is known as split tunneling.

Les éléments de sécurité tels que la DLP, la protection antivirus, l’authentification et le contrôle d’accès peuvent être fournis beaucoup plus efficacement contre ces points d'extrémité dans les différentes couches du service.Security elements such as DLP, AV protection, authentication and access control can all be delivered much more efficiently against these endpoints at different layers within the service. Cela permet également de dérouter l’essentiel du volume de trafic à partir de la solution VPN, ce qui libère la capacité VPN pour le trafic important de l’entreprise qui en dépend encore.As we also divert the bulk of the traffic volume away from the VPN solution, this frees the VPN capacity up for business critical traffic which still relies on it. Cela devrait également supprimer la nécessité, dans de nombreux cas, de passer par un programme de mise à niveau long et coûteux pour faire face à ce nouveau mode de fonctionnement.It also should remove the need in many cases to go through a lengthy and costly upgrade program to deal with this new way of operating.

Configuration de la segmentation de tunnel VPN

Image 3 : Une solution de segmentation de tunnel VPN avec des exceptions Office 365 définies, envoyées directement au service. Tout autre trafic est renvoyé dans le réseau d'entreprise, quelle que soit la destination.Figure 3: A VPN split tunnel solution with defined Office 365 exceptions sent direct to the service. All other traffic is forced back into the corporate network regardless of destination.

Du point de vue de la sécurité, Microsoft dispose d'une gamme de fonctionnalités de sécurité qui peuvent être utilisées pour fournir une sécurité similaire, voire améliorée, à celle fournie par l'inspection en ligne par des piles de sécurité locales.From a security perspective, Microsoft has an array of security features which can be used to provide similar, or even enhanced security than that delivered by inline inspection by on premises security stacks. L’article de blog de l’équipe de sécurité Microsoft, Des moyens alternatifs pour les professionnels de la sécurité et l'informatique de réaliser des contrôles de sécurité modernes dans les scénarios de travail à distance uniques d'aujourd'hui propose un résumé clair des fonctionnalités disponibles. Vous trouverez aussi des instructions plus détaillées dans cet article.The Microsoft Security team's blog post Alternative ways for security professionals and IT to achieve modern security controls in today's unique remote work scenarios has a clear summary of features available and you'll find more detailed guidance within this article. Vous pouvez également en apprendre plus sur l’implémentation Microsoft de la segmentation de tunnel VPN en consultant l’article Fonctionnement sur VPN : comment Microsoft maintient les employés travaillant à distance connectés.You can also read about Microsoft's implementation of VPN split tunneling at Running on VPN: How Microsoft is keeping its remote workforce connected.

Dans de nombreux cas, cette implémentation peut être réalisée en quelques heures, ce qui permet de résoudre rapidement l'un des problèmes les plus urgents auxquels sont confrontées les organisations, qui passent rapidement au travail à distance de façon exclusive.In many cases, this implementation can be achieved in a matter of hours, allowing rapid resolution to one of the most pressing problems facing organizations as they rapidly shift to full scale remote working. Si vous souhaitez obtenir des instructions sur l’implémentation de la segmentation du tunnel VPN, consultez l’article Implémentation de la segmentation de tunnel VPN pour Office 365.For VPN split tunnel implementation guidance, see Implementing VPN split tunneling for Office 365.

Notes

Microsoft s’est engagé à interrompre les modifications apportées à optimiser les points de terminaison pour Office 365 jusqu’au 30 juin 2020 minimum, ce qui permet aux clients de se concentrer sur d’autres défis plutôt que de maintenir la liste blanche des points de terminaison une fois initialement implémentée.Microsoft has committed to suspending changes to Optimize endpoints for Office 365 until at least June 30 2020, allowing customers to focus on other challenges rather than maintaining the endpoint whitelist once initially implemented.

Implémentation d'un tunnel VPN partagé pour Office 365Implementing VPN split tunneling for Office 365

Optimisation des performances de Microsoft Office 365 pour les utilisateurs résidant en ChineOffice 365 performance optimization for China users

D'autres méthodes pour les professionnels de la sécurité et de l’informatique pour optimiser les contrôles de sécurité modernes dans les scénarios de travail à distance d’aujourd’hui (blog de l'équipe de sécurité Microsoft)Alternative ways for security professionals and IT to achieve modern security controls in today's unique remote work scenarios (Microsoft Security Team blog)

Améliorer les performances de VPN chez Microsoft : utiliser les profils VPN Windows 10 pour autoriser les connexions automatiquesEnhancing VPN performance at Microsoft: using Windows 10 VPN profiles to allow auto-on connections

Fonctionnement sur VPN : comment Microsoft maintient les employés travaillant à distance connectésRunning on VPN: How Microsoft is keeping its remote workforce connected

Principes de connectivité réseau Office 365Office 365 Network Connectivity Principles

Évaluation de la connectivité réseau Office 365Assessing Office 365 network connectivity

Test de connectivité Microsoft 365Microsoft 365 connectivity test